سرورهای MySQL، هدف باجگیران سایبری

به گزارش شرکت مهندسی شبکه گستر، شرکت GuardiCore خبر داده که بتازگی مهاجمان با اجرای حملاتی گسترده در مدتی کوتاه به صدها سرور MySQL متصل شده و بانک داده آنها را حذف کرده‌اند. این مهاجمان در ازای بازگرداندن داده‌ها، از قربانیان مبلغ 0.2 بیت‌کوین (حدود 200 دلار) را اخاذی می‌کنند.

تمامی این حملات از سمت نشانی IPو 109.236.88.20 که توسط شرکت WorldStream در کشور هلند میزبانی می‌شود اجرا شده‌اند.

علیرغم یکسان بودن نشانی IP، الگوی اجرای حمله در برخی حملات متفاوت گزارش شده است.

برای مثال در تعدادی از نمونه‌های بررسی شده، مهاجمان اقدام به ساخت بانک داده جدیدی با عنوان PLEASE_READ کرده و در آن جدولی (Table) با عنوان WARNING را اضافه نموده‌اند. جدول مذکور حاوی اطلاعیه باج‌گیری است.

در حالی که در برخی نمونه‌های دیگر جدول WARNING در یکی از بانک‌های داده موجود اضافه شده است.

بر طبق توضیحات محققان GuardiCore مهاجمان در ادامه محتوای بانک داده هدف قرار گرفته شده را سرقت کرده و سپس اقدام به حذف آنها – بجز جدول Warning – می‌کنند. ضمن اینکه در برخی نمونه‌های رصد شده توسط این محققان بدون دانلود محتوا، عملیات حذف انجام شده است.

اطلاعیه باج‌گیری نیز در تمامی این حملات یکسان نبوده است. در برخی از نمونه‌ها از قربانی خواسته می‌شود از طریق ایمیل درج شده در اطلاعیه، پرداخت را به مهاجمان اعلام کند.

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)

در صورتی که در نمونه‌هایی دیگر از قربانی خواسته می‌شود تا از طریق ابزار Tor به سایت مهاجمان در شبکه Darknet متصل شده و ادامه کار را از آنجا دنبال کند.

INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

هر چند که بررسی نشانی‌های بیت‌کوین درج شده در اطلاعیه‌های باج‌گیری مذکور مشخص می‌کند که تعدادی واریز به این نشانی‌ها انجام شده اما نمی‌توان با اطمینان این واریزها را به قربانیان نسبت داد. این احتمال داده می‌شود که مهاجمان خود مبالغی را به این نشانی‌ها انتقال داده باشند تا قربانیان با اعتماد بیشتری نسبت به پرداخت باج اقدام کنند.

همانطور که اشاره شد در برخی نمونه‌های رصد شده مهاجمان پیش از حذف داده ها اقدام به تهیه نسخه پشتیبان نکرده بودند. بنابراین اگر سازمانی به هر دلیلی تصمیم به پرداخت باج بگیرد می‌بایست قبل از آن از وجود داده‌ها نزد مهاجمان اطمینان حاصل کند.

همچون همیشه تاکید می‌شود هیچ تضمینی برای بازگردانی داده‌ها به حالت اولیه در صورت پرداخت مبلغ اخاذی شده وجود ندارد.

به مدیران سرورهای MySQL توصیه می‌شود از پیچیده بودن گذرواژه تمامی نام‌های کاربری پایگاه داده از جمله root اطمینان حاصل کنند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *