Четверть миллиона баз данных MySQL появились в даркнете по цене приблизительно в $550 за штуку, сообщила компания Guardicore. Хакеры взломали 83 тысячи серверов и украли 250 тысяч баз данных. Вымогатели используют метод двойного шантажа — они не только удаляют данные, но и выкладывают их на аукцион, если жертва не заплатит.
Взломы заметили в начале 2020 года. Guardicore Global Sensors Network (GGSN) обнаружила первую атаку 24 января. Всего за год специалисты компании зафиксировали 92 атаки, которые резко участились в октябре. Сеть сенсоров смогла обнаружить 11 ip-адресов из Ирландии и Великобритании, от которых шли атаки. Поскольку кошельки Bitcoin были зашиты прямо в требования о выкупе, сотрудники GGSN проанализировали состояние кошельков. Суммарно на них пришли 1,2867640900000001 биткойнов, что на текущий момент эквивалентно 24 тыс. долларов. Это сумма только за переводы на известные bitcoin-кошельки.
Скриншот требования о выкупе, ZDNet.
Хакерская группировка сначала взламывает базу данных MySQL и скачивает себе оригинал, потом удаляет файлы с серверов и оставляет записку с требованиями выкупа данных и уникальным токеном.
За прошедший год схема менялась. Изначально хакеры вручную рассылали письма с требованиями. Когда количество жертв выросло, злоумышленники завели порталы для автоматизации процесса. Сейчас использованные сайты sqldb.to и dbrestore.to уже недоступны. Вымогатели открыли похожий сайт с использованием .onion-домена в TOR и поменяли способ оплаты. Теперь платёж производится напрямую с портала.
Чтобы выкупить свою базу данных, пользователь должен зайти в даркнет на сайт мошенников, найти украденный файл и ввести уникальный идентификатор, который есть в записке на сервере. Мошенники дают 9 дней со дня взлома прежде, чем базу выставят на публичный аукцион.
Исследователи безопасности нашли список из 250 тысяч различных баз данных с 83 тысяч серверов MySQL. Общий объём украденных данных составил 7 ТБ.
На сайте каждая база продаётся за 30 миллибиткойнов. Из-за оплаты криптовалютой фактическая стоимость одной MySQL-базы постоянно меняется. Точный объём заработанного установить невозможно. 8 bitcoin-кошельков уже были внесены в сервис BitcionAbuse, базу данных для отслеживания платежей вымогателей, мошенников и т.д.
Жертвы вымогателей публиковали скриншоты записок с требованиями выкупа весь 2020 год на Reddit, форуме MySQL и форуме технической поддержки.
Серия атак на серверы баз данных, сопоставимая по масштабу, произошла зимой 2017 года. Тогда пострадали тысячи серверов CouchDB, MongoDB, Cassandra, Elasticsearch и Hadoop. С их владельцев требовали от 0,2 до 1 биткойна за восстановление информации.
