在MongoDB之后，赎金软件群体击中了暴露的弹星搜索群集

删除来自数千名可公开访问的MongoDB数据库的数据后，Ransomware组已开始与可从Internet访问的弹性搜索群集执行相同的操作，并且未正确保护。

Elasticsearch是一种基于Java的搜索引擎，即在企业环境中流行。它通常与日志收集和数据分析和可视化平台一起使用。

由Ransomware击中的Elasticsearch集群的第一份报告周四出现在运行从Internet访问的测试部署的用户的官方支持论坛上。

群集的所有数据都被擦除，并留下了单个索引，ransom消息读取：“向此钱包发送0.2 BTC：1dasgy4kt1a4lctpmh5vm5pqx32ezmot4r如果要恢复数据库！发送比特币后，将服务器IP发送给此电子邮件。“

Niall Merrigan是一名安全研究员，一直在过去的两周内以类似的方式擦拭MongoDB数据库的安全研究员，在Twitter上报道了超过600个弹星搜索集群的影响。

这可能只是一开始，因为某些估计将互联网可访问的弹性搜索部署数量约为35,000。在几天之内，擦拭MongoDB数据库的数量从几百到数千年增加到超过34,000多百万次。

据专家介绍，没有理由将弹星搜索集群暴露给互联网。为了响应这些最近的攻击，搜索技术和分布式系统架构师Itamar Syn-Hershko发布了一个博客文章，以确保弹性咨询部署的建议。

“有一个需要查询弹性的页面应用程序并获取JSONs进行显示？通过一个可以做出请求过滤，审计记录以及最重要的，密码保护数据的软件外观，“Syn-Hershko表示。“没有那个，（a）你肯定是绑定到公共IP，你应该应该”t，（b）你冒着对你的数据的不需要的变化，（c）和最坏的情况 - 你可以控制谁访问的是什么和所有数据都可以看到所有数据。只是用那些弹星搜索群集现在正在发生的事情。“

如果您“重新受到这些攻击的影响，则不推荐支付赎金，因为攻击者可能没有实际具有数据。帮助MongoDB受害者的专家报告说，他们在擦除之前在服务器的服务器日志中看到没有证据。

在服务器上指示的赎金软件攻击不太可能随时停止，特别是因为MongoDB和Elasticsearch不是唯一在Internet上不受保护的数据存储系统类型。