下一個獵殺目標 | 近期大量MySQL資料庫遭勒索攻擊

隨著MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra伺服器的的淪陷，MySQL資料庫成了攻擊者的下一個獵殺目標。他們劫持了數百個MySQL資料庫（也可能是上千個），刪除了存儲數據，並留下勒索信息，要求支付0.2比特幣的贖金（約為235美元）。

PLEASE_READ.WARNING

攻擊由2月12日凌晨00:15發起，在短短30個小時內，攻擊者拿下了成百上千個暴露在公網的MySQL伺服器。

經調查人員發現，在此次勒索攻擊中，所有的攻擊皆來自相同的IP地址，109.236.88.20，屬於荷蘭的一家網路託管服務提供公司WorldStream。

攻擊者（可能）利用了一台被盜的郵件伺服器，該伺服器同樣可以提供HTTP（s）和FTP伺服器所提供的服務。

攻擊以「root」密碼暴力破解開始，一旦成功登陸，該黑客會獲取已有MySQL資料庫及其表的列表，TA在已有的資料庫中新建一個名為WARNING的表，插入信息包括一個郵箱地址、比特幣地址和支付需求。

還有一種情況是，該黑客會新建一個名為 『PLEASE_READ』的資料庫再添加WARNING表，然後刪除存儲在伺服器和本地資料庫，有時甚至不轉存任何數據。

兩種攻擊版本

以下是兩種版本的勒索信息：

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(『1′,』Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!』, 『1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY』, 『backupservice@mail2tor.com』)

INSERT INTO `WARNING`(id, warning)VALUES(1, 『SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en』)

在第一個版本中，勒索者的郵箱地址是『backupservice@mail2tor.com』。到了第二個版本，TA給受害者提供了一個暗網地址『http://sognd75g4isasu2v.onion/』來恢復他們的數據。

在兩個不同的版本中，攻擊者給出的比特幣錢包也不一樣，分別是 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 和1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY 。

GuardiCore的專家表示：

我們不能確定這個做法是否是攻擊者想讓受害者相信支付贖金能恢複數據。

請確保你的數據還在對方手中

0.2比特幣似乎已成了國際慣例，先前有不少企業選擇支付贖金的方式息事寧人。

建議受害者在決定支付之前檢查日誌，並查看攻擊者是否手握獲取你們的數據。

如果公司真的決定支付贖金，支付前應當詢問對方是否真的有你們的數據。

總結

0.2比特幣、成百上千的資料庫被入侵、WARNING勒索信息等線索不由讓人聯想到先前被屠戮的MongoDB，不知這次的MySQL是否會成為第二個MongoDB。

這不是MySQL伺服器第一次被勒索。2015年發生了同樣的事，當時攻擊者使用未修復的phpBB論壇劫持了資料庫並對網站進行勒索，史稱RansomWeb攻擊。

如果IT團隊遵循安全規範操作比如使用自動化伺服器備份系統並且刪除MySQL root 帳戶或者至少使用強且難以被暴力破解的密碼，就不會發生這種事。

MySQL資料庫被勒索攻擊的事件不容小噓，瞬間暴漲的被勒索MongoDB資料庫數量就是前車之鑒。（文章回顧傳送門）

*參考來源：

bleeping

，

guardicore

，FB小編bimeover編譯，轉載請註明來自Freebuf.COM