Hàng ngàn máy chủ công cụ tìm kiếm Elasticsearch trở thành mục tiêu của ransomware

17/01/2017 13:44

Sau khi một số lượng lớn cơ sở dữ liệu của MongoDB bị tấn công xâm nhập và tống tiền, mới đây một vụ tấn công tương tự lại xảy ra với hàng trăm máy chủ công cụ tìm kiếm cấp doanh nghiệp Elasticsearch.

Báo cáo nghiên cứu đầu tiên đã ghi nhận tổng cộng 360 máy chủ Elasticsearch bị xâm nhập, xóa tất cả dữ liệu trong máy chủ và yêu cầu trả tiền chuộc để khôi phục dữ liệu.

Tuy nhiên, chuyên gia an ninh Niall Merrigan (từng theo dõi và điều tra vụ tấn công tống tiền MongoDB) sau đó đã cập nhập số lượng bị xâm nhập thực tế lên tới 2.711 máy. Hầu hết các máy chủ bị ảnh hưởng đặt tại Mỹ, một số nhỏ đặt tại Trung Quốc, Châu Âu và Singapore. Con số máy chủ bị nhiễm đang ngày càng gia tăng.

shnb vcxxdvfbgn bv
Hàng ngàn máy chủ công cụ tìm kiếm Elasticsearch trở thành mục tiêu của ransomware

Người sáng lập công cụ tìm kiếm Shodan – John Matherly cho biết, hiện tại có hơn 35.000 máy chủ Elasticsearch chứa lỗ hổng bảo mật, trong đó hầu hết các máy chủ Elasticsearch lưu trữ trên cơ sở hạ tầng máy chủ Web của Amazon.

Đáng chú ý, kẻ tấn công không trực tiếp xóa dữ liệu trong máy chủ mục tiêu mà xuất dữ liệu trước khi xóa, đồng thời cho biết sẽ trả lại dữ liệu sau khi nhận được khoản tiền chuộc.

Mặc dù dữ liệu được lưu trữ trên bản AWS của Amazon là khá an toàn nhưng Elasticsearch không thực hiện bất kỳ hình thức xác thực nào, do đó các quản trị viên phải cấu hình đúng cách khi có sự truy cập của người dùng không đáng tin cậy.

Phương Anh (Dịch từ Qihoo 360)

Xem nhiều

Tin liên quan

BẠN CÓ THỂ QUAN TÂM

Video