Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.
Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.
https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note