10/12/20
Более 85 тыс. баз данных SQL продаются на хакерском портале в даркнете по цене $550 за одну БД. Киберпреступники используют портал в рамках набирающей популярность вымогательской схемы с базами данных, пишет ZDNet.
Схема, начавшая использоваться в начале 2020 года, заключается в следующем: злоумышленники взламывают БД SQL, загружают таблицы и удаляют оригинал, оставляя записку с требованием выкупа. В записке указано, как владелец БД может связаться с вымогателями и договориться о возвращении своих данных.
Изначально злоумышленники предоставляли свой электронный адрес, однако, когда со временем масштабы операции существенно возросли, они стали указывать адреса портала sqldb.to и dbrestore.to, который затем был перенесен в даркнет. Перейдя по этому адресу, жертва должна ввести уникальный идентификатор, указанный в записке с требованием выкупа, после чего открывается страница с выставленной на продажу БД. Если в течение девяти дней жертва не заплатит выкуп, данные будут выставлены на аукцион в другом разделе портала.
Выкуп должен выплачиваться в биткойнах. В течение года сумма варьировалась по мере изменения курса биткойна, но в среднем она составляла порядка $500 за сайт, независимо от его контента.
Процессы взлома и продажи баз данных являются автоматизированными, и злоумышленники не анализируют содержимое скомпрометированных БД.
Атаки легко обнаруживаются, поскольку злоумышленники обычно помещают записку с требованием выкупа в таблицы SQL с заголовком «WARNING». Хотя большинство взломанных баз данных – серверы MySQL, не исключено, что другие базы данных SQL, такие как PostgreSQL и MSSQL, также могли пострадать.
