اخبار و رویدادها اخبار و رویدادها

پایگاه داده‌های MySQL هدف جدید مهاجمان برای باج‌خواهی

پایگاه داده‌های MySQL هدف جدید مهاجمان برای باج‌خواهی              

​محققان امنیتی هشدار دادند هزاران پایگاه داده‌ی MySQL هدف حملات جدید مهاجمان برای باج‌خواهی قرار گرفته‌اند. این حملات دنباله‌ی جرائمی است که چند ماه قبل بر روی پایگاه داده‌ی MongoDB انجام شده بود.

در مرحله‌ای از حمله، مهاجمان بر روی کارگزارهای MySQL حملات جستجوی فراگیر انجام می‌دهند، تعداد جداول و پایگاه داده‌ها را شمارش کرده و اطلاعات آن را به‌سرقت می‌برند. در ادامه نیز جدولی در پایگاه داده ساخته و به قربانی دستورات لازم برای پرداخت ۰.۲ بیت‌کوین را ارائه می‌دهند. با وجود اینکه مهاجمان ادعا می‌کنند پس از پرداخت باج قرار است اطلاعات پایگاه داده را برگردانند ولی این موضوع صحت ندارد چرا که مشاهده شده تعدادی از این پایگاه داده‌ها بدون هیچ‌گونه سرقتی، به‌طور کامل حذف شده‌اند.

اوایل ماه ژانویه نیز چنین حملاتی بر روی پایگاه داده‌های MongoDB مشاهد شده بود. مهاجمان پایگاه داده را به سرقت برده و برای بازگرداندن آن ۰.۲ بیت‌کوین باج درخواست می‌کردند. نفوذگران توانستند از این طریق اطلاعات ۳۰ هزار پایگاه داده‌ی MongoDB را به سرقت ببرند.

 

اینک پایگاه داده‌های MySQL هدف حمله قرار گرفته‌اند. مهاجمان از ابزارهای برخط برای پیدا کردن سامانه‌هایی که دارای گذرواژه‌های ضعیف در سطح اینترنت هستند استفاده می‌کنند. بر روی آن‌ها حملات جستجوی فراگیر انجام داده و به این پایگاه داده‌ها دسترسی پیدا می‌کنند و جداول آن را با یک جدول که پیغام باج‌خواهی در آن وجود دارد، جایگزین می‌کنند. در برخی از نمونه‌ها حتی مشاهده شده نفوذگران بدون رونویسی از پایگاه داده، در همان مرحله‌ی اول آن را حذف کرده‌اند. به‌عبارت دیگر قربانی به‌هیچ روشی نمی‌تواند پایگاه داده‌ی خود را بازیابی کند.

براساس گزارش کارشناسان امنیتی، از نیمه‌شب ۲۴ بهمن و در عرض ۲۴ ساعت، صدها حمله انجام شده است. ردیابی که بر روی حملات انجام شده، نشان می‌دهد همه‌ی آن‌ها از یک آدرس IP مشخص (۱۰۹.۲۳۶.۸۸.۲۰) انجام شده و بر روی یک سرویس در هلند به آدرس worldstream.nl میزبانی می‌شوند. این شرکت میزبانی چند روز پس از وقوع این حملات، از این مسئله مطلع شد. محققان امنیتی معتقدند این حملات از روی یک کارگزارِ آلوده‌ی رایانامه که به‌عنوان کارگزار HTTP و FTP نیز عمل می‌کند، انجام می‌شود.

به گزارش کارشناسان امنیتی، این حملات در سراسر جهان انجام شده و پایگاه داده‌های خاصی را هدف قرار نداده است و با قطعیت نمی‌توان گفت که مهاجمان قدیمیِ MongoDB حملات خود را به کارگزارهای MySQL منتقل کرده‌اند ولی نکته‌ای که وجود دارد این است که مسلماً حمله‌ی جدید از حملات علیه MongoDB الهام گرفته شده است.

آدرس بیت‌کوینی که در پیغام باج‌خواهی وجود دارد میزان فعالیت این مهاجمان را نشان می‌دهد. محققان معتقدند پرداخت زیادی توسط قربانیان صورت نگرفته و تراکنش‌های مربوط به پرداخت ممکن است توسط خودِ مهاجمان انجام شده باشد تا قربانیان را به پرداخت ترغیب و تشویق کنند. کارشناسان توصیه می‌کنند پیش از پرداخت باج حتماً مطمئن شوید که مهاجمان رونویسی از پایگاه داده‌ی شما دارند و پس از آن باج را پرداخت کنید.

تمامی پایگاه داده‌های MySQL که در سطح اینترنت قابل دسترسی هستند، در معرض خطر قرار دارند و به مدیران سامانه‌ها توصیه شده حتماً پایگاه داده را با گذرواژه‌های قوی و استفاده از احراز هویتِ اجباری ایمن سازند. علاوه بر این ضروری است سرویس‌هایی که دارای اطلاعات حساس هستند کمتر در سطح اینترنت قرار بگیرند.

محققان در ادامه توضیح دادند: «ضروری است که به‌طور مداوم ماشین‌ها و سرویس‌های خود را در سطح اینترنت کنترل کنید تا اگر نقض داده‌ای رخ داده باشد، هرچه سریع‌تر متوجه شوید. به‌طور دوره‌ای از پایگاه داده‌ی خود پرونده‌های پشتیبان تهیه کنید تا در صورت بروز چنین مشکلاتی، مجبور نشوید با مهاجمان تماس گرفته و باج پرداخت کنید.»

لینک منبع خبر 

آدرس کوتاه :