Массовые атаки вымогателей на плохо настроенные серверы MongoDB начались в конце декабря 2016 года. Первый инцидент, замеченный исследователем Виктором Геверсом (Victor Gevers), выглядел как единичный случай, но совсем скоро атаку взяли на вооружение и другие хакеры. В настоящий момент охоту на незащищенные установки MongoDB открыли уже более двадцати хакерских групп. Злоумышленники получают доступ к БД, стирают все данные и требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина за восстановление информации. По данным исследователя Найла Мерригана (Niall Merrigan), который следит за развитием ситуации с самого начала, на сегодняшний день от таких атак пострадали уже более 34 000 серверов.
Однако количество неправильно настроенных установок MongoDB не бесконечно, таковых насчитывается от 50 000 до 100 000 (по данным Shodan и ZoomEye, соответственно). Злоумышленники, которым определенно понравился новый способ «заработка», ищут новые способы реализации мошеннической схемы, и в их поле зрения попал поисковый движок Elasticsearch.
Основатель Shodan Джон Мазерли (John Matherly) пишет, что более 35 000 серверов Elasticsearch (в основном Amazon Web Services) открыты для всего интернета и могут стать жертвами шантажистов. Его слова подтверждает и Найл Мерриган. По его данным, мошенники уже скомпрометировали более 600 хостов. Хакеры действуют так же, как в случае с MongoDB: стирают данные, а затем требуют выкуп за их восстановление. Эксперты отмечают, что платить зачастую бесполезно, так как копированием информации злоумышленники себя на самом деле не утруждают.
The #Elastic ransomware is speading .. now 600+ hosts pic.twitter.com/CQdVK3ml8h
— Niall Merrigan (@nmerrigan) January 13, 2017
Разработчики Elasticsearch уже отреагировала на происходящее, в блоге компании появилась инструкция о том, как правильно настроить и обезопасить Elasticsearch, чтобы не стать жертвой шантажистов.
Фото: Depositphotos
