資安業者Guardicore於本周警告,駭客針對直連網際網路的MySQL伺服器發動攻擊,他們暴力破解這些伺服器的憑證,下載資料庫,之後將它們於伺服器上刪除,再向伺服器所有人勒索,若勒索不成,即將這些資料庫集中在一個入口網站上拍賣,每個資料庫售價約500美元,迄今該站已蒐集了來自8.5萬個MySQL伺服器的25萬個資料庫。

雖然此一攻擊行動並未涉及勒索軟體,但駭客卻採用雙重勒索模式逼受害者就範,於是Guardicore將它稱PLEASE_READ_ME勒索活動。

研究顯示,駭客從今年1月就展開了PLEASE_READ_ME勒索活動,它的攻擊鏈非常地簡單,只是開採連結公開網路且採用薄弱憑證的MySQL伺服器,在成功破解伺服器憑證之後,駭客取得了資料庫中的表格與使用者資訊,把它們壓縮之後傳回駭客伺服器,並刪除伺服器上的資料庫,還留了一個後門用戶於伺服器上,以方便隨時返回。駭客亦於伺服器上留下一個勒索信件,要求使用者以比特幣支付贖金,換回資料庫並避免資料庫外洩。PLEASE_READ_ME勒索活動所要求的贖金並不高,依據比特幣的價格漲跌,從0.03個比特幣到0.08個比特幣不等,大約落在500美元左右。

PLEASE_READ_ME勒索活動也隨著受害者的數量增多而變得更系統化,在今年1月到9月間,駭客都是透過電子郵件與受害者聯繫,但10月時駭客於暗網中建立了一個入口網站,受害者只要登入該入口網站,輸入勒索信件中的獨特代碼,就能連至被盜走的資料庫頁面與贖金價格,一鍵就能付款。假設受害者在10天內未能支付贖金,駭客就會把所竊得的資料庫移至另一個公開拍賣的網頁上,供外界競標。

目前此一公開的拍賣網頁上,已存放了來自8.5萬個MySQL伺服器的25萬個資料庫,總計有7TB的資料量。

值得注意的是,駭客並未針對特定產業或對象,而是鎖定公開網路上的MySQL伺服器亂槍打鳥,全球約有500萬台的MySQL伺服器為潛在受害者。根據Guardicore的追蹤,今年以來駭客的比特幣錢包總計被轉入1.28個比特幣,約為2.5萬美元。

熱門新聞

Advertisement