Настал черед MySQL: неизвестная группа хакеров вымогает деньги за восстановление удаленных данных с сотен MySQL-серверов
Новости Отредактировано
2К открытий2К показов
Серия атак на серверы популярных СУБД продолжается. В этот раз, после MongoDB, ElasticSearch, Hadoop и CouchDB, хакерам успешно удалось атаковать сервера MySQL.
В чем заключаются действия хакеров
Суть атаки хакеров заключается в копировании данных с серверов жертв и их последующем удалении. За восстановление данных злоумышленники требуют оплату в размере 0,2 биткоина (около 13,5 тысяч рублей на момент написания статьи). Согласно исследованию компании GuardiCore, для атаки применяется брутфорс (полный перебор паролей) MySQL-серверов, к которым можно получить доступ через Сеть. Сообщается, что иногда хакеры не делают предварительный дамп данных, поэтому жертва в общем случае не имеет никаких гарантий.
Для привлечения внимания жертвы хакеры обычно создают таблицу с названием WARNING в существующей схеме на сервере или создают новую схему с названием PLEASE_READ. Используется примерно следующий код:
Считается, что атаки начались 12 февраля на территории Нидерландов (IP 109.236.88.20) и продлились 30 часов, в течение которых хакерам удалось получить доступ к БД жертв. Использование хакерами различных тактик значительно усложняет поиск связей между атаками на сервера разных СУБД, однако их общая природа наталкивает на мысль, что действует одна и та же группа.
Куда деньги на лечение скидывать?
Для вымогания средств и приема платежей хакеры используют сайт в домене .onion. На момент написания статьи сайт все еще действует.
Известно, что на указанные на этом сайте биткоин-счета уже поступило суммарно 10 платежей.
Мораль
Важный урок, который стоит извлечь из этой истории: первый шаг к безопасности — генерация устойчивого к брутфорсу пароля. Кстати, мы рассказывали о различных сервисах, с помощью которых можно удобно сгенерировать пароли.
2К открытий2К показов