Niall Merrigan, een van de beveiligingsonderzoekers die deze maand berichtte over gegijzelde MongoDB-databases, waarschuwt dat aanvallers zich nu richten op servers met Elasticsearch. Zij hanteren dezelfde werkwijze en vragen losgeld voor het terugzetten van bestanden.
Merrigan meldt dat er momenteel ongeveer zeshonderd gegijzelde Elasticsearch-servers zijn. Volgens de oprichter van zoekmachine Shodan, John Matherly, zijn er in totaal 35.000 servers te vinden die via het internet te benaderen zijn. Daarbij gaat het voornamelijk om versies van Elasticsearch die draaien op AWS-servers. De aanvallers vragen ook in dit geval 0,2 bitcoin als betaling voor het terugzetten van de data, wat neerkomt op ongeveer 153 euro.
Deze werkwijze werd eerder toegepast bij MongoDB-databases, waartoe aanvallers door gebrekkige of afwezige beveiliging toegang hebben. Het aantal gegijzelde databases was begin deze week ongeveer 27.000 en is in de loop van de week opgelopen tot ongeveer 34.000. Daarmee is de in eerste instantie snelle groei van het aantal gegijzelde databases afgenomen.
Elasticsearch is software waarmee grote hoeveelheden data op te slaan en te doorzoeken zijn. De organisatie erachter waarschuwt in een eigen bericht dat er aanvallen plaatsvinden en biedt gebruikers uitleg over het beveiligen van hun installatie. Ontwikkelaar Itamar Syn-Hershko heeft een blogpost gewijd aan het beveiligen van Elasticsearch naar aanleiding van de aanvallen.