Пользователи, выкладывающие в сеть плохо защищенные серверы PostgreSQL и MySQL рискуют получить стирание своих баз данных ботом-вымогателем, утверждают исследователи Border0.
Злоумышленники просят небольшую сумму за возврат/непубликацию данных, но те, кто заплатит, не получат свои данные обратно, поскольку бот забирает лишь небольшой их объем, прежде чем стереть их все.
Как работает бот-вымогатель
Под впечатлением от недавнего твита, в котором автор поделился, что его случайно выложенный сервер PostgreSQL был «немедленно» взломан и уничтожен, исследователи Border0 решили проверить, будет ли простой сервер PostgreSQL – доступный из любой точки Интернета с помощью имени пользователя postgres и пароля password – атакован тем же ботом после того, как его выложат в Интернете.
Эксперимент проводился несколько раз, и результат всегда был одинаковым: в течение нескольких часов бот:
- Заходил на сервер (с IP-адреса голландского хостинг-провайдера)
- Идентифицировал и исследовал базы данных
- Делал снимки каждой таблицы в базах данных (но только первых 10 или 20 строк)
- Удалял все базы данных
- Завершал все процессы бэкэнда (вероятно, чтобы помешать защитным действиям администраторов или автоматизированных систем)
- Создавал новую базу данных под названием readme_to_recover, которая содержит записку о выкупе
«Если вы решите не восстанавливать данные, мы можем продать вашу базу данных на онлайн-рынках, раскрыть ее вашим пользователям и потребовать от них оплаты, раскрыть ее на онлайн-форумах, посвященных нарушениям, или удалить ее. Если потребуется, мы свяжемся с органами GDPR в вашей стране»
- угрожают злоумышленники в «руководстве» по ссылке
За удаление баз данных PostgreSQL злоумышленники просят 0,007 BTC (около $330). Выкуп составляет 0,017 BTC (около $730). В обоих случаях уплата выкупа не приведет к возвращению данных жертвам.
Насколько эффективен такой подход для злоумышленников?
Исследователи Border0 отмечают, что нет недостатка в общедоступных серверах PostgreSQL и MySQL, которые можно легко обнаружить с помощью поисковых систем вроде Shodan.
«Неудивительно видеть множество открытых сервисов баз данных в публичном облаке. Если вы используете свою базу данных, скажем, в DigitalOcean или даже AWS, то эти облачные провайдеры не всегда обеспечивают легкий доступ к базе данных с вашего рабочего стола или даже с рабочей нагрузки, запущенной в другом регионе или у другого провайдера. У вас может не быть другого выбора, кроме как открыть ее из любого места»
- объясняют они
«Кроме того, пользователям Docker важно знать, что использование docker run -p для публикации порта контейнера изменяет правила iptables для проброса портов на основе DNAT. Эта функция Docker управляет внешней связью для контейнеров, отменяя любые стандартные настройки запрета в таблице iptables INPUT, тем самым делая порт общедоступным.»
«При ближайшем рассмотрении Bitcoin-адрес, указанный в записке о выкупе, обнаруживает активность. За последние несколько дней на этот адрес было совершено пять отдельных транзакций, в совокупности принесших чуть более $2400 (214 838 ₽). Примечательно, что каждый раз, когда средства переводились на этот адрес, они быстро переводились на другой кошелек»
- рассказали исследователи
По словам The Register, этот другой кошелек «работает с 25 августа 2021 года и регулярно получает ежедневные платежи в несколько тысяч долларов, что наводит на мысль о том, что бот базы данных управляется человеком или группой, которые занимаются другими, более прибыльными видами киберпреступности.»
Подобные автоматические атаки на плохо защищенные серверы баз данных происходят уже не первый год. В 2020 году исследователи Intruder продемонстрировали, как незащищенные базы данных MongoDB аналогичным образом взламываются и стираются, а их владельцы сталкиваются с почти идентичным предложением о выкупе.
Исследователь безопасности Кевин Бомонт (Kevin Beaumont) сообщил, что на этот раз под прицел попали и базы данных MariaDB