Хакеры продают более 85000 баз данных SQL
Хакеры взламывают базы данных SQL, загружают таблицы, удаляют оригиналы и оставляют записки о выкупе, сообщая владельцам серверов связаться с злоумышленниками, чтобы вернуть свои данные.
В настоящее время в даркнет продается более 85000 баз данных SQL по цене всего 550 долларов за базу данных.
Портал, на который сегодня обратили внимание исследователи безопасности, является частью схемы выкупа базы данных.
Хакеры взламывают базы данных SQL, загружают таблицы, удаляют оригиналы и оставляют записки о выкупе, сообщая владельцам серверов связаться с злоумышленниками, чтобы вернуть свои данные.
В то время как в первоначальных записках о выкупе жертвам предлагалось связаться с злоумышленниками по электронной почте, по мере роста объема операций в течение года злоумышленники также автоматизировали свою схему выкупа БД с помощью веб-портала, который сначала размещался в сети на sqldb.to и dbrestore.to, а затем сайт переехал в даркнет.
Жертв, которые получают доступ к сайтам банды, просят ввести уникальный идентификатор, указанный в записке о выкупе, перед тем, как им будет представлена страница, на которой продаются их данные.
Если жертвы не платят в течение девяти дней, их данные выставляются на аукцион в другом разделе портала.
Стоимость восстановления или покупки украденной базы данных SQL должна быть оплачена в биткоинах. Фактическая цена менялась в течение года, так как обменный курс BTC/USD колебался, но обычно оставался на уровне около 500 долларов для каждого сайта, независимо от контента, который они включали.
Это говорит о том, что и вторжения в БД, и веб-страницы с целью выкупа/аукциона автоматизированы, и что злоумышленники не анализируют взломанные базы данных на предмет данных, которые могут содержать более высокую концентрацию личной или финансовой информации.
Прошлые атаки легко идентифицировать, поскольку группа обычно помещает свои требования выкупа в таблицы SQL с заголовком «WARNING». Судя по жалобам, большинство баз данных выглядят как серверы MySQL; однако мы не исключаем, что другие системы реляционных баз данных SQL, такие как PostgreSQL и MSSQL, также могли пострадать.
Признаки этих атак с выкупом накапливались в течение 2020 года, и количество жалоб от владельцев серверов, обнаруживающих записку о выкупе в своих базах данных, появлялось на Reddit, форумах MySQL, форумах технической поддержки, средних постах и частных блогах.
Биткоин-адреса, используемые для требований выкупа, также накапливались на BitcoinAbuse.com — веб-сайт, который индексирует биткоин-адреса, используемые в операциях по борьбе с киберпреступностью.
Эти атаки знаменуют собой самые согласованные усилия по выкупу баз данных SQL с зимы 2017 года, когда хакеры атаковали серверы MySQL в серии атак, которые также были нацелены на серверы MongoDB, Elasticsearch, Hadoop, Cassandra и CouchDB.