Más de 85,000 bases de datos SQL están actualmente a la
venta en un portal web oscuro por un precio de solo $ 550 / base de datos.
El portal que a un investigador de seguridad llamó la
atención, es parte de un esquema de rescate de base de datos que ha estado en
marcha desde principios de 2020.
Los piratas informáticos han estado ingresando a las bases
de datos SQL, descargando tablas, eliminando los originales y dejando notas de
rescate, diciéndoles a los propietarios del servidor que se comuniquen con los
atacantes para recuperar sus datos.
Si bien las notas de rescate iniciales pedían a las víctimas
que se contactaran con los atacantes por correo electrónico, a medida que la
operación crecía a lo largo del año, los atacantes también automatizaron su
esquema de rescate de DB con la ayuda de un portal web, primero alojado en
línea en sqldb.to y dbrestore.to, y luego movió una dirección de cebolla, en la
Dark web.
A las víctimas que acceden a los sitios de los criminales se
les pide que ingresen una identificación única, que se encuentra en la nota de
rescate, antes de que se les presente la página donde se venden sus datos.
El precio por recuperar o comprar una base de datos SQL
robada debe pagarse en bitcoin. El precio real ha variado a lo largo del año a
medida que el tipo de cambio BTC / USD fluctuaba, pero generalmente se ha
mantenido centrado en una cifra de $ 500 para cada sitio, independientemente
del contenido que incluyan.
(adsbygoogle = window.adsbygoogle || []).push({});
Esto sugiere que tanto las intrusiones de DB como las
páginas web de rescate / subasta están automatizadas y que los atacantes no
analizan las bases de datos pirateadas en busca de datos que puedan contener
una mayor concentración de información personal o financiera.
Los ataques anteriores son fáciles de identificar, ya que el
grupo generalmente ha colocado sus demandas de rescate en tablas SQL tituladas
“ADVERTENCIA”, la mayoría de las bases de datos parecen ser
servidores MySQL; sin embargo, no se descarta que otros sistemas de bases de
datos relacionales SQL como PostgreSQL y MSSQL también puedan haber sido
afectados.
Las señales de estos ataques de rescate se han ido
acumulando en el transcurso de 2020, y la cantidad de quejas de los
propietarios de servidores que encontraron la nota de rescate dentro de sus
bases de datos aparecieron en Reddit, los foros de MySQL, foros de soportetécnico, publicaciones de Medium y blogs privados.
Las direcciones de Bitcoin utilizadas para las demandas de
rescate también se han acumulado en BitcoinAbuse.com [1, 2, 3, 4, 5, 6, 7, 8],
un sitio web que indexa las direcciones de Bitcoin utilizadas en operaciones de
ciberdelito.
Estos ataques marcan un
incremento en su modalidad de pedir rescate de bases de datos SQL desde
el invierno de 2017 cuando los piratas informáticos atacaron los servidores
MySQL en una serie de ataques que también se dirigieron a los servidores
MongoDB, Elasticsearch, Hadoop, Cassandra y CouchDB.
