因Elasticsearch数据库安全防护薄弱，导致勒索软件攻击

据媒体透露，Elasticsearch数据库由于安全防护薄弱的缘故，导致其被黑客盯上，并且数据库450个索引被黑客通过利用勒索信替换，想要恢复则需要支付620美元，而总赎金加起来则达到了279,000美元。

威胁行为者还设置了7天付款期限，并威胁如果在规定时间内没有支付，赎金将增加一倍且还会使受害者丢失索引。对于支付了这笔救赎金的用户将得到一个下载链接。链接接到他们的数据库存储，据表示，这是有助于快速恢复数据结构的最直接方式。

该活动是被Secureworks的威胁分析师发现的，他们确定了450多个单独的赎金支付请求。

根据Secureworks的说法，威胁行为者通过使用一种脚本来解析未受保护的数据库，以此达到擦除数据并添加救赎金的目的。另外不难发现，在这次行动中并没有体现出任何的人工干预。

这种勒索活动并不是第一次发生了，此前也曾发生过很多起类似的网络攻击，而且针对其他数据库管理系统的攻击手段也如出一辙。想要使用支付黑客费用来恢复数据库使不大现实的，事实上，攻击者没有这么多条件来存储如此庞大的数据库数据。

相反，威胁者只是简单地删除不受保护的数据库中的内容，并给受害者留下一张勒索信。截至目前，勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是，对于数据所有者来说，如果他们没有采取不定期备份的措施，那么遇到这种情况并丢失所有内容就很可能会引起重大的经济损失。

虽然一些数据库支持在线服务，但总会出现有业务中断的风险，其成本可能远远高于骗子要求的小额金额。此外，机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。

不幸的是，还是有很多数据库在无任何保护的前提下暴露在公众视野前，只要这种情况继续存在，被黑客盯上的几率就会很大。

Group-IB最近的一份报告显示，2021年网络上暴露的Elasticsearch实例超过10万个，约占2021年暴露数据库总数的30%。

来自同一份报告数据显示，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客提供了足够的攻击时间。

Secureworks强调，任何数据库都不应该是面向公众的。此外，如果需要远程访问，管理员应为授权用户设置多因素身份验证，并将访问权限仅限于相关个人。

如果将这些服务外包给云提供商的机构，也应确保供应商的安全政策与他们的标准兼容，并确保所有数据得到充分保护。