Περισσότερες από 85.000 SQL βάσεις δεδομένων βρίσκονται προς πώληση σε ένα portal στο dark web. Η τιμή είναι 550 $ για την κάθε βάση δεδομένων.
Το portal που ανακαλύφθηκε από έναν ερευνητή ασφαλείας, φαίνεται να αποτελεί μέρος ενός “database ransom scheme” που λειτουργεί από τις αρχές του 2020.
Οι hackers έχουν παραβιάσει βάσεις δεδομένων SQL, έχουν κατεβάσει πίνακες, έχουν διαγράψει τους πρωτότυπους και έχουν αφήσει στη θέση τους σημειώματα για λύτρα. Σε αυτά τα σημειώματα, ζητούν από τους κατόχους servers να επικοινωνήσουν μαζί τους για να λάβουν τα δεδομένα τους πίσω.
Αρχικά, οι hackers ζητούσαν από τα θύματα να επικοινωνήσουν μαζί τους μέσω email. Αργότερα, καθώς η εκστρατεία εξελισσόταν, αυτοματοποίησαν τη διαδικασία με τη βοήθεια ενός web portal, που φιλοξενήθηκε αρχικά στο sqldb.to και στο dbrestore.to. Στη συνέχεια, δόθηκε ένα Onion address στο dark web.
Όταν τα θύματα μπαίνουν στα sites των hackers, καλούνται να βάλουν ένα μοναδικό ID, το οποίο παρέχεται στο σημείωμα λύτρων. Έπειτα, μπορούν να μπουν στη σελίδα όπου πωλούνται τα δεδομένα τους.
Εάν τα θύματα δεν πληρώσουν εντός εννέα ημερών, τα δεδομένα τους τίθενται για δημοπρασία σε άλλη ενότητα του portal.
Για να ανακτήσει ή να αγοράσει κάποιος τις κλεμμένες SQL βάσεις δεδομένων πρέπει να πληρώσει σε bitcoin. Από την αρχή του έτους (όπου ξεκίνησε και η εκστρατεία) έχουν γίνει διάφορες αλλαγές στην τιμή των βάσεων δεδομένων (ανάλογα με την ισοτιμία BTC / USD), αλλά συνήθως είναι γύρω στα 500 δολάρια για κάθε βάση δεδομένων (ανεξάρτητα από το περιεχόμενό της).
Αυτό υποδηλώνει ότι τόσο οι αρχικές εισβολές όσο και οι ιστοσελίδες λύτρων / δημοπρασιών είναι αυτοματοποιημένες και ότι οι εισβολείς δεν αναλύουν τις παραβιασμένες βάσεις δεδομένων. Αν το έκαναν, η τιμή θα καθοριζόταν ενδεχομένως από τη σημασία των κλεμμένων δεδομένων.
Οι αρχικές επιθέσεις είναι εύκολο να αναγνωριστούν, καθώς οι hackers τοποθετούσαν συνήθως τα σημειώματα λύτρων σε πίνακες SQL με τίτλο “WARNING”. Οι περισσότερες από τις βάσεις δεδομένων φαίνεται να είναι MySQL servers.
Όπως είπαμε και παραπάνω, τέτοιου είδους επιθέσεις εμφανίστηκαν από την αρχή του 2020 και συνεχίστηκαν καθ’ όλη τη διάρκειά του. Οι ιδιοκτήτες servers έχουν κάνει διάφορες καταγγελίες που εμφανίζονται στο Reddit, σε MySQL forums, σε forums τεχνικής υποστήριξης και σε άλλα ιδιωτικά blogs.
Αυτές οι επιθέσεις σηματοδοτούν την πιο συντονισμένη προσπάθεια απόκτησης κέρδους από βάσεις δεδομένων SQL. Οι πρώτες είχαν ξεκινήσει το χειμώνα του 2017, όταν οι hackers χτύπησαν MySQL servers σε μια σειρά επιθέσεων που στόχευσαν, επίσης, MongoDB, Elasticsearch, Hadoop, Cassandra και CouchDB servers.
Πηγή: ZDNet