【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击

幸运草
幸运草
幸运草
1055
文章
3
评论
2021年11月18日21:19:20
评论
7

随着MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra服务器的的沦陷,MySQL数据库成了攻击者的下一个猎杀目标。他们劫持了数百个MySQL数据库(也可能是上千个),删除了存储数据,并留下勒索信息,要求支付0.2比特币的赎金(约为235美元)。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击

PLEASE_READ.WARNING

攻击由2月12日凌晨00:15发起,在短短30个小时内,攻击者拿下了成百上千个暴露在公网的MySQL服务器。经调查人员发现,在此次勒索攻击中,所有的攻击皆来自相同的IP地址,109.236.88.20,属于荷兰的一家网络托管服务提供公司WorldStream。

攻击者(可能)利用了一台被盗的邮件服务器,该服务器同样可以提供HTTP(s)和FTP服务器所提供的服务。

攻击以“root”密码暴力破解开始,一旦成功登陆,该黑客会获取已有MySQL数据库及其表的列表,TA在已有的数据库中新建一个名为WARNING的表,插入信息包括一个邮箱地址、比特币地址和支付需求。

还有一种情况是,该黑客会新建一个名为 ‘PLEASE_READ’的数据库再添加WARNING表,然后删除存储在服务器和本地数据库,有时甚至不转存任何数据。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击

两种攻击版本

以下是两种版本的勒索信息:

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
在第一个版本中,勒索者的邮箱地址是‘backupservice@mail2tor.com’。到了第二个版本,TA给受害者提供了一个暗网地址‘http://sognd75g4isasu2v.onion/’来恢复他们的数据。在两个不同的版本中,攻击者给出的比特币钱包也不一样,分别是 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 和1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY 。

GuardiCore的专家表示:

我们不能确定这个做法是否是攻击者想让受害者相信支付赎金能恢复数据。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击

请确保你的数据还在对方手中

0.2比特币似乎已成了国际惯例,先前有不少企业选择支付赎金的方式息事宁人。

建议受害者在决定支付之前检查日志,并查看攻击者是否手握获取你们的数据。

如果公司真的决定支付赎金,支付前应当询问对方是否真的有你们的数据。

总结

0.2比特币、成百上千的数据库被入侵、WARNING勒索信息等线索不由让人联想到先前被屠戮的MongoDB,不知这次的MySQL是否会成为第二个MongoDB。

这不是MySQL服务器第一次被勒索。2015年发生了同样的事,当时攻击者使用未修复的phpBB论坛劫持了数据库并对网站进行勒索,史称RansomWeb攻击。

如果IT团队遵循安全规范操作比如使用自动化服务器备份系统并且删除MySQL root 帐户或者至少使用强且难以被暴力破解的密码,就不会发生这种事。

MySQL数据库被勒索攻击的事件不容小嘘,瞬间暴涨的被勒索MongoDB数据库数量就是前车之鉴。

来源:freebuf.com

相关推荐: Maze(迷宫)勒索病毒见人要价,根据数据价值确定勒索金额

一、概述 腾讯安全御见威胁情报中心监测发现,新型勒索病毒Maze(迷宫)近日在国内造成部分感染。Maze(迷宫)勒索病毒擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破…

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草
告诉你怎样处置WannaCry勒索病毒并恢复数据 劫持

告诉你怎样处置WannaCry勒索病毒并恢复数据

开发运维配置繁杂,是时候给应用架构做减法了   “Less is more”是路德维希·密斯·凡德罗在建筑领域提出的观点,近些年来,这一观点不断被用于生活中的其他领域。在软件开发世界中,也有对“Les...

发表评论