Вымогатели атакуют серверы MySQL

После серии атак на серверы MongoDB, ElasticSearch, Hadoop и CouchDB в январе нынешнего года под прицел вымогателей попали базы данных MySQL. По информации компании GuardiCore, злоумышленники взламывают незащищенные серверы MySQL, похищают базы данных и удаляют содержимое сервера. За восстановление потерянных данных хакеры требуют выкуп в размере 0,2 биткойна ($235).

Первые атаки были зафиксированы 12 февраля и продолжались около 30 часов, в течение которых преступники пытались получить доступ к корневым учетным записям при помощи метода брутфорс. По словам исследователей, все атаки осуществлялись с IP-адреса (109.236.88.20) в Нидерландах, принадлежащего хостинговой компании WorldStream.

Несмотря на использование одного и того же IP-адреса, взломы осуществлялись по разным сценариям, поэтому не исключено, что за атаками стоит несколько хакерских группировок. К примеру, в ряде случаев после взлома сервера злоумышленники создавали новую базу данных с названием PLEASE_READ, содержащую сообщение с требованием выкупа. В других случаях атакующие просто оставляли требование в уже существующей базе данных. Кроме того, разница также была замечена в тексте уведомлений. В одном из них указывался адрес электронной почты для подтверждения платежа, а в другом - адрес web-сайта в сети Tor.

Злоумышленники уже не первый раз атакуют серверы MySQL в целях получения финансовой выгоды. В 2015 году была зафиксирована серия атак, получившая название RansomWeb, в ходе которых хакеры взламывали уязвимые форумы phpBB, похищали базы данных и требовали выкуп за их возвращение.

Источник