esenfrdeitptru

Datos de Elasticsearch no seguros reemplazados por una nota de rescate

AS-054-2022

Fecha: 02/Jun/2022

Resumen:

Los investigadores de Secureworks Counter Threat Unit (CTU) identificaron más de 1200 índices de múltiples bases de datos de Elasticsearch no seguras orientadas a Internet reemplazadas por una nota de rescate. La nota exige un pago de Bitcoin a cambio de los datos.
 

AS 054 2022 ELK
Imagen Nro.1 Nota de rescate colocada en la base de datos expuesta de ElasticSearch, Fuente: Secureworks.

Las instancias de Elasticsearch no seguras son fáciles de identificar mediante el motor de búsqueda de Shodan. Las instrucciones sobre cómo identificar bases de datos de Elasticsearch no seguras están públicas.

En 2020, investigadores descubrieron que aproximadamente la mitad de las instancias expuestas de MongoDB fueron borradas y reemplazadas por una nota de rescate similar. La explotación de bases de datos no seguras no se limita al robo de datos y las campañas de extorsión. Los actores de amenazas que buscan información confidencial relacionada con organizaciones específicas podrían crear fácilmente búsquedas que identifiquen datos relevantes en los índices de las bases de datos orientadas a Internet.

Recomendaciones:

Cuando una base de datos requiere acceso remoto, las organizaciones deben implementar la autenticación multifactor (MFA) para proteger los servicios orientados a Internet. Las organizaciones también deben revisar las políticas de seguridad de los proveedores de la nube y no asumir que los datos están protegidos de forma predeterminada.

Las organizaciones que subcontratan estos servicios a proveedores de nube deben asegurarse de que las políticas de seguridad del proveedor sean compatibles con sus estándares y que todos los datos estén adecuadamente protegidos.

Ninguna base de datos debe dar la cara al público a menos que sea esencial para su función. Además, si se requiere acceso remoto, los administradores deben configurar la autenticación multifactor para los usuarios autorizados y restringir el acceso solo a las personas relevantes.

Realice copias de seguridad regulares.

Referencias:

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note
https://www.bleepingcomputer.com/news/security/hundreds-of-elasticsearch-databases-targeted-in-ransom-attacks/
https://www.bankinfosecurity.com/held-to-ransom-1200-unsecured-elasticsearch-databases-a-19177
https://www.darkreading.com/cloud/12k-misconfigured-elasticsearch-buckets-extortionists

 

Tlp Clear 2023