Ciberdelincuentes están secuestrando cientos de bases de datos MySQL y borran su contenido, dejando una nota de rescate tras pedir un pago de 0,2 Bitcoin.
Segun la firma de detección GuardiCore, los ataques están ocurriendo a través de ataques de fuerza bruta en los servidores MySQL expuestas a Internet, y hay un montón de ellos por ahí ya que MySQL es uno de los sistemas de bases de datos más populares del momento.
Sobre la base de la evidencia disponible en la actualidad, los ataques comenzaron el 12 de febrero, y sólo duraron 30 horas, durante las cuales los atacantes trataron de atacar mediante fuerza bruta su camino en las cuentas root de MySQL.
Los investigadores dijeron que los ataques provenían de la misma dirección IP de los Países Bajos, 109.236.88.20, que pertenece a una empresa de alojamiento denominado Worldstream.
Durante su saqueo, los atacantes no se comportaban con un patrón constante, por lo que es difícil atribuir los cortes a un grupo, a pesar del uso de la misma IP.
Por ejemplo, después de obtener el acceso a los servidores MySQL, los atacantes crearon una nueva base de datos llamada PLEASE_READ y dejaron una tabla llamada WARNING que contenía sus demandas de rescate. En algunos casos, los atacantes sólo crearon la tabla WARNING y lo dejaron dentro de una base de datos ya existente, sin necesidad de crear una nueva.
Los investigadores informan que los atacantes volcan el contenido de la base de datos y la eliminan después, dejando sólo la nota de su rescate. En algunos casos, los atacantes eliminan las bases de datos sin incurrir en dumping.
Dos notas de rescate se han encontrado en los cientos de ataques confirmados, uno pidiendo a las víctimas de ponerse en contacto por correo electrónico y confirmar el pago, mientras que el otro utiliza un modo completamente diferente de operación, redirigiendo a los usuarios a un sitio web alojado-Tor.
INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
Las dos direcciones de Bitcoin que figuran en las notas de rescate recibieron cuatro y seis pagos, respectivamente, aunque los expertos GuardiCore duda de que todos son de víctimas.
Al igual que en el caso de los ataques MongoDB que han afectado a más de 41.000 servidores, se recomienda que compruebe los registros de las víctimas antes de decidirse a pagar y ver si realmente los atacantes tomaron sus datos.
Si las empresas eligen pagar el rescate, siempre debe pedir al atacante de la prueba que todavía tienen sus datos.
Fecha actualización el 2017-6-18. Fecha publicación el 2017-2-25. Categoría: Microsoft. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer