黑客在暗网拍卖网站上出售超过25万个MySQL数据库

dark web

黑客在暗网上建立了一个拍卖网站,出售从数万台被入侵的MySQL服务器上盗取的25万个数据库。

整个集合的大小为7TB,是数据库赎金业务的一部分,该业务自10月以来急剧增加。

数据库勒索攻击的崛起

早在5月份,BleepingComputer就报道了一个攻击者正在窃取网店的SQL数据库,并威胁受害者如果不支付0.06BTC,他们的数据将被公开。

虽然该黑客在暗网的网站上只列出了31个数据库,但赎金说明中留下的钱包的滥用报告数量却超过了200个,这说明该黑客的行动规模更大。

Guardicore的研究人员对该计划进行了一年的监测,并注意到自10月3日以来活动急剧上升。

攻击者已经从明网转向暗网,创建了一个拍卖网站,列出了8.3万台被入侵的服务器中的25万个数据库,这些数据库暴露在公共网络上。

auction site

拍卖网站上出售的MySQL数据库大小从20字节到千兆字节不等,并且以同样的金额–0.03比特币或545美元的当前价格出售。

根据拍卖数据库的名称和大小,BleepingComputer认为这些是自动攻击。因为该行为人不仅出售大型数据库,还出售仅包含20字节数据的测试和默认数据库。

Guardicore在今天发布的一份报告中证实,这些数据是由非目标的自动攻击导致的,这些攻击使用蛮力来获取数据。

当威胁行为者入侵MySQL服务器时,他们会执行各种命令,将数据库归档并复制到攻击者的基础设施中,从受害者服务器中删除它们,然后创建一个赎金说明。

赎金说明是在一个名为 “警告 “的新数据库表中创建的,其中包含一条记录。

MySQLauction token red

这条记录有对受害者的说明,引导他们到Tor网站支付赎金,并提供一个独特的令牌来访问个人页面。

根据Guardicore的发现,行为人通过创建一个后门用户(mysqlbackups’@’%’)来建立持久性。这使得他们可以在以后的时间再次入侵服务器。

研究人员区分了这种双重勒索活动的两个阶段,这表明操作的演变。

在第一个阶段,攻击者的赎金票据中有一个比特币钱包,受害者可以在那里汇款以获得他们的数据库。Guardicore遥测捕捉到63次此类攻击,来自四个不同的IP地址。

该拍卖网站是该活动第二阶段的一部分,并遵循文件加密勒索软件业务的网络犯罪团伙所设定的趋势,如REvil,Netwalker,MountLocker等。

Guardicore研究员Ophir Harpaz向BleepingComputer表示,这次行动的演变很有可能不是最初的行动者所为。

除了泄漏地点,另一个线索是Guardicore监控系统记录了两个阶段的不同IP地址集。

目前,世界上大约有500万台MySQL服务器可以通过公共互联网到达。诸如此类的自动攻击正在不断发现新的目标,试图攻破它们。

由于这些都是通过测试普通凭证来驱动的,所以管理员应该优先为拥有重要数据的数据库使用强大的、唯一的密码。

如果可能的话,管理员还应该避免暴露数据库,或者至少要通过安全的、非公共的连接进行访问,并以良好的网络可视性来补充这些防御措施。

https://www.bleepingcomputer.com/news/security/250-000-stolen-mysql-databases-for-sale-on-dark-web-auction-site/
https://www.anwangli.com/hackers-sell-more-than-250000-mysql-databases-on-dark-web-auction-site.html

作者: admin

Leave a Reply

Your email address will not be published. Required fields are marked *

联系我们

联系我们

邮箱: [email protected]

返回顶部