最近，部分黑客组织针对几款特定产品展开了勒索攻击。截止到上周，已有至少34000多台MongoDB数据库被黑客组织入侵，数据库中的数据被黑客擦除并索要赎金。随后，在2017年1月18日当天，又有数百台ElasticSearch服务器受到了勒索攻击，服务器中的数据被擦除。安全研究人员Niall Merrigan表示，截止到目前，受攻击的ElasticSearch服务器已经超过了2711台。紧随上述两次攻击事件，目前已经有黑客将目标瞄准了Hadoop集群。这些勒索攻击的攻击模式都较为相似，在整个攻击过程中并没有使用任何勒索软件，也没有涉及常规漏洞，而是利用相关产品的不安全配置，使攻击者有机可乘，轻而易举地对相关数据进行操作。

据GDI基金会的三名安全研究人员维克托·格弗斯（Victor Gevers）、尼尔·梅里甘（Niall Merrigan）和马特·布罗米莱（Matt Bromiley）声称，针对Hadoop集群的攻击已删除了至少165个集群的数据。这三人声称，目前大约有5300个Hadoop集群暴露在互联网面前，其中一些可能岌岌可危。

这三个人的报告声明：“HDFS管理员系统的默认安装绑定到IP地址0.0.0.0，并允许任何身份未经验证的用户对Hadoop集群执行超级用户功能。这些功能可以通过Web浏览器来加以执行，无法阻止攻击者采取破坏性操作。这可能包括在短短几秒内破坏拥有数TB数据的数据节点、数据卷或快照。”

IT网站The Register曾特别报道，上个月，之前一轮攻击袭击了Hadoop集群，通过端口50070来攻击。

当时，发现一名攻击者删除了文件目录，并添加了一个名为/NODATA4U_SECUREYOURSHIT的新目录。

实施目前这一轮攻击的那些人同样删除了数据，同时放置了一个名为/ PLEASE_README的目录。这显然会是放置勒索信的地方，勒索信承诺：如果拿到赎金，就会恢复已删除的数据。

这几位研究人员表示，虽然攻击者可能要求支付赎金，但是他们根本拿不出任何数据来还给受害者。报告声称：“如数支付了赎金的受害者没有因此拿回数据，常常没有办法恢复数据。”

研究人员建议开启Hadoop安全数据节点（Hadoop Secure Datanode）、安全模式（Safemode）和服务级别身份验证（通过Kerberos）等机制。他们还建议，阻止不可信任的IP地址通过端口50070来访问，通过某种OpenVPN来添加身份及访问管理（IAM）控制和网络分段机制，并且部署Knox之类的反向代理系统，防止未经授权用户访问。