Плохо защищенные серверы с PostgreSQL и MySQL стали мишенью для бота-вымогателя

Пользователи, выкладывающие в сеть плохо защищенные серверы PostgreSQL и MySQL рискуют получить стирание своих баз данных ботом-вымогателем, утверждают исследователи Border0.

Злоумышленники просят небольшую сумму за возврат/непубликацию данных, но те, кто заплатит, не получат свои данные обратно, поскольку бот забирает лишь небольшой их объем, прежде чем стереть их все.

Как работает бот-вымогатель

Под впечатлением от недавнего твита, в котором автор поделился, что его случайно выложенный сервер PostgreSQL был «немедленно» взломан и уничтожен, исследователи Border0 решили проверить, будет ли простой сервер PostgreSQL – доступный из любой точки Интернета с помощью имени пользователя postgres и пароля password – атакован тем же ботом после того, как его выложат в Интернете.

Эксперимент проводился несколько раз, и результат всегда был одинаковым: в течение нескольких часов бот:

  • Заходил на сервер (с IP-адреса голландского хостинг-провайдера)
  • Идентифицировал и исследовал базы данных
  • Делал снимки каждой таблицы в базах данных (но только первых 10 или 20 строк)
  • Удалял все базы данных
  • Завершал все процессы бэкэнда (вероятно, чтобы помешать защитным действиям администраторов или автоматизированных систем)
  • Создавал новую базу данных под названием readme_to_recover, которая содержит записку о выкупе

«Если вы решите не восстанавливать данные, мы можем продать вашу базу данных на онлайн-рынках, раскрыть ее вашим пользователям и потребовать от них оплаты, раскрыть ее на онлайн-форумах, посвященных нарушениям, или удалить ее. Если потребуется, мы свяжемся с органами GDPR в вашей стране»
- угрожают злоумышленники в «руководстве» по ссылке

За удаление баз данных PostgreSQL злоумышленники просят 0,007 BTC (около $330). Выкуп составляет 0,017 BTC (около $730). В обоих случаях уплата выкупа не приведет к возвращению данных жертвам.

Насколько эффективен такой подход для злоумышленников?

Исследователи Border0 отмечают, что нет недостатка в общедоступных серверах PostgreSQL и MySQL, которые можно легко обнаружить с помощью поисковых систем вроде Shodan.

«Неудивительно видеть множество открытых сервисов баз данных в публичном облаке. Если вы используете свою базу данных, скажем, в DigitalOcean или даже AWS, то эти облачные провайдеры не всегда обеспечивают легкий доступ к базе данных с вашего рабочего стола или даже с рабочей нагрузки, запущенной в другом регионе или у другого провайдера. У вас может не быть другого выбора, кроме как открыть ее из любого места»
- объясняют они

«Кроме того, пользователям Docker важно знать, что использование docker run -p для публикации порта контейнера изменяет правила iptables для проброса портов на основе DNAT. Эта функция Docker управляет внешней связью для контейнеров, отменяя любые стандартные настройки запрета в таблице iptables INPUT, тем самым делая порт общедоступным.»

«При ближайшем рассмотрении Bitcoin-адрес, указанный в записке о выкупе, обнаруживает активность. За последние несколько дней на этот адрес было совершено пять отдельных транзакций, в совокупности принесших чуть более $2400 (≈ 215 286 ₽). Примечательно, что каждый раз, когда средства переводились на этот адрес, они быстро переводились на другой кошелек»
- рассказали исследователи

По словам The Register, этот другой кошелек «работает с 25 августа 2021 года и регулярно получает ежедневные платежи в несколько тысяч долларов, что наводит на мысль о том, что бот базы данных управляется человеком или группой, которые занимаются другими, более прибыльными видами киберпреступности.»

Подобные автоматические атаки на плохо защищенные серверы баз данных происходят уже не первый год. В 2020 году исследователи Intruder продемонстрировали, как незащищенные базы данных MongoDB аналогичным образом взламываются и стираются, а их владельцы сталкиваются с почти идентичным предложением о выкупе.

Исследователь безопасности Кевин Бомонт (Kevin Beaumont) сообщил, что на этот раз под прицел попали и базы данных MariaDB

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)