Ссылаясь на результаты наблюдений GuardiCore, новостное издание Security Week сообщило, что хакеры, стирающие базы данных с целью получения выкупа, начали атаковать MySQL. Злоумышленники брутфорсят сотни доступных из Интернета, плохо защищенных серверов MySQL, удаляют содержимое и оставляют сообщение с требованием выкупа в размере 0,2 биткойна (немногим более $200).

От аналогичных варварских атак ранее пострадали многие MongoDB, Elasticsearch (Amazon), Hadoop и CouchDB, а также Cassandra. Десятки хакеров соревновались друг с другом, уничтожая записи соперников и заменяя их своими. К сожалению, такая нездоровая конкуренция среди взломщиков уменьшала шансы операторов баз данных на возврат похищенной информации, а они без того были малы: во многих случаях злоумышленники удаляли данные, не оставляя никаких копий.

На конец января исследователи-добровольцы фиксировали следующие потери: скомпрометированы более 40 тыс. серверов MongoDB, 5 тыс. серверов Elasticsearch, 186 Hadoop, 452 CouchDB, 49 Apache Cassandra.

В полночь 12 февраля были зафиксированы первые вымогательские атаки на популярные базы данных MySQL. Новая киберкампания продолжалась 30 часов, все атаки проводились с одного и того же IP-адреса 109.236.88.20, обслуживаемого голландским хостером WorldStream. Исследователи полагают, что хакеры использовали скомпрометированный почтовый сервер, одновременно работающий как HTTP(S) и FTP. Уведомление хостинг-провайдеру было направлено спустя пару дней.

В ответ на запрос Security Week руководитель исследований GuardiCore Офри Зив (Ofri Ziv) рассказал, что атаки наблюдались по всему миру и, по всей видимости, проводились ковровым методом. Представитель GuardiCore не смог назвать точное число затронутых баз данных, лишь отметил: «Нам известны тысячи открытых из Интернета серверов MySQL со слабыми паролями, которые подвержены атакам».

Зив также заявил, что на настоящий момент идентифицировать атакующих как одну из уже известных групп хакеров невозможно, поэтому GuardiCore не может с уверенностью утверждать, что вымогатели попросту переключились на другую мишень.

Bitcoin-адреса, указанные в сообщениях с требованием выкупа, выказывают признаки активности, однако это еще не доказательство того, что жертвы кражи со взломом производят платежи. По мнению исследователей, эти транзакции могут быть умышленно сфальсифицированы, чтобы заставить пострадавших уплатить выкуп.

Как бы то ни было, до принятия решения о платеже GuardiCore настоятельно советует удостовериться, что автор атаки действительно владеет информацией, за которую просит выкуп. В ходе мониторинга исследователи не нашли свидетельств, подтверждающих, что злоумышленники делают дампы или куда-то выводят данные.

GuardiCore подчеркивает, что атакам вымогателей подвержены все серверы MySQL, доступные из Интернета, поэтому администраторам следует усилить пароли и обязательно применять аутентификацию, а также ограничить внешний доступ к сервисам, работающим с конфиденциальными данными. Оперативно реагировать на любые взломы поможет непрерывный мониторинг, а регулярное резервирование позволит быстро восстановить важную информацию в случае ее кражи или уничтожения взломщиками.

Категории: Главное, Хакеры