GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาเตือนภัยถึงการโจมตีเรียกค่าไถ่รูปแบบใหม่ พุ่งเป้าไปยังระบบฐานข้อมูล MySQL โดยจะทำการขโมยแล้วลบข้อมูลออกจากฐานข้อมูล พร้อมทิ้งข้อความเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) เพื่อแลกกับการนำข้อมูลที่ถูกขโมยไปกลับคืนมา
GuardiCore ระบุว่า ตรวจพบการโจมตีเรียกค่าไถ่ดังกล่าวเมื่อวันที่ 12 กุมภาพันธ์ ซึ่งดำเนินไปเป็นระยะเวลาเพียงแค่ 30 ชั่วโมงเท่านั้น แต่มีฐานข้อมูลตกเป็นเหยื่อหลายร้อยเครื่อง โดยแฮ็คเกอร์ใช้วิธีโจมตีแบบ Brute Force ไปยังฐานข้อมูล MySQL ที่ออนไลน์อยู่บนอินเทอร์เน็ต เพื่อให้ได้สิทธิ์เป็น Root ของระบบ จากนั้นจะทำการขโมยข้อมูลในฐานข้อมูลออกไป แล้วลบข้อมูลทั้งหมดทิ้ง เหลือไว้เพียงฐานข้อมูลที่ระบุข้อความเรียกค่าไถ่และช่องทางติดต่อเท่านั้น
จากการตรวจสอบพบว่า การโจมตีทั้งหมดมาจากหมายเลข IP เดียวกัน คือ 109.236.88.20 ซึ่งเป็นหมายเลข IP ที่บริษัทโฮสติ้ง ชื่อว่า WorldStream จากประเทศเนเธอร์แลนด์เป็นเจ้าของ อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตี ไม่สามารถระบุได้แน่ชัดว่ามาจากแฮ็คเกอร์คนหรือกลุ่มเดียวกัน เนื่องจากมีวีธีการโจมตีและช่องทางเรียกค่าไถ่ต่างกัน เช่น เป้าหมายบางรายหลังถูกโจมตีแล้ว แฮ็คเกอร์จะสร้างฐานข้อมูลชื่อว่า “PLEASE_READ” และตารางชื่อว่า “WARNING” ซึ่งระบุข้อความเรียกค่าไถ่ แต่บางรายแฮ็คเกอร์กลับสร้างตาราง “WARNING” ไว้ในฐานข้อมูลที่มีอยู่แล้ว
นอกจากนี้ พบว่าการโจมตีบางส่วนมีเฉพาะการลบข้อมูลในฐานข้อมูลทั้งหมดทิ้งเพียงอย่างเดียว ไม่ได้มีการขโมยข้อมูลออกไป ดังนั้นเจ้าของฐานข้อมูลควรตรวจสอบ Log ให้ดีก่อนว่า ข้อมูลของตนถูกขโมยหรือไม่ ก่อนที่จะเสียเงินจ่ายค่าไถ่ไปฟรีๆ
ด้านล่างแสดงข้อความเรียกค่าไถ่ในฐานข้อมูล พบว่ามี 2 แบบ คือ ให้เหยื่อติดต่อกลับผ่านทางอีเมลเพื่อจ่ายค่าไถ่ และให้จ่ายค่าไถ่ผ่านเว็บไซต์ในเครือข่าย Tor
INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning) VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
เมื่อตรวจสอบบัญชี Bitcoin ที่ระบุอยู่ในข้อความเรียกค่าไถ่ พบว่ามีการชำระเงินรวมแล้ว 10 ครั้ง ซึ่งคาดว่ามาจากการจ่ายค่าไถ่ทั้งหมด
GuardiCore แนะนำให้ผู้ดูแลระบบฐานข้อมูลปฏิบัติตามคู่มือด้านความมั่นคงปลอดภัยของ MySQL เพื่อป้องกันการถูกโจมตีเพื่อเรียกค่าไถ่ ไม่ว่าจะเป็นการสำรองข้อมูลในฐานข้อมูลเป็นประจำ การยกเลิกการใช้บัญชี Root หรืออย่างน้อยก็เปลี่ยนไปใช้รหัสผ่านที่แข็งแกร่ง ยากต่อการถูกโจมตีแบบ Brute Force
ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/