Вымогательские атаки добрались до баз MySQL[/caption]
В декабре прошлого года специалисты зафиксировали скачек активности вымогателей, пик атак пришелся на конец января. На этот раз злоумышленники решили отказаться от классических шифровальщиков: хакеры поняли, что компрометация некорректно настроенных серверов MongoDB, CouchDB, Elasticsearch, HDFS – неплохой способ извлечения прибыли. По оценкам экспертов, в январе такую схему атак использовали несколько десятков хакерских групп.
Алгоритм атаки относительно прост: злоумышленники при помощи стандартных сканеров находят в сети незащищенную базу данных, получают к ней доступ и стирают все содержимое. Далее от пострадавшей организации требуют оплатить определенную сумму за восстановления БД в исходное состояние. Размер выкупа обычно составляет 0,2-1 биткоин. Причем в большинстве случаев переводить средства бесполезно – злоумышленники даже не пытаются сохранить копию данных, просто удаляя все содержимое таблиц.
Теперь специалисты GuardiCore предупреждают, что хакеры переключили свое внимание на некорректно настроенные установки MySQL. Схема работы аналогична: находят уязвимые сервера, взламывают их при помощи обычного брутфорса, стирают все содержимое и оставляют сообщение с требованием оплатить 0,2 биткоина. Злоумышленники обещают вернуть все данные после оплаты, однако чаще всего они также не сохраняют дамп базы данных.
По информации аналитиков, первые атаки на платформу MySQL зафиксированы 12 февраля, продолжительность составила 30 часов. Однако за этот период преступникам удалось взломать большое количество серверов в разных странах. При отслеживании источника атаки во всех случаях конечной точкой являлся IP 109.236.88.20, который принадлежит хостеру WorldStream (Голландия). Представители хостинга уже уведомлены о проблеме, но эксперты полагают, что компания не имеет отношения к атаке. Вероятнее всего, атакующие просто использовали взломанный почтовый сервер, который выполнял роль FTP- и HTTP-серверов. Отследить злоумышленников вряд ли удастся.
