เตือนผู้ใช้ MySQL เสี่ยงถูกโจมตีฐานข้อมูลเรียกค่าไถ่

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาเตือนภัยถึงการโจมตีเรียกค่าไถ่รูปแบบใหม่ พุ่งเป้าไปยังระบบฐานข้อมูล MySQL โดยจะทำการขโมยแล้วลบข้อมูลออกจากฐานข้อมูล พร้อมทิ้งข้อความเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) เพื่อแลกกับการนำข้อมูลที่ถูกขโมยไปกลับคืนมา

Credit: Bacho/ShutterStock

GuardiCore ระบุว่า ตรวจพบการโจมตีเรียกค่าไถ่ดังกล่าวเมื่อวันที่ 12 กุมภาพันธ์ ซึ่งดำเนินไปเป็นระยะเวลาเพียงแค่ 30 ชั่วโมงเท่านั้น แต่มีฐานข้อมูลตกเป็นเหยื่อหลายร้อยเครื่อง โดยแฮ็คเกอร์ใช้วิธีโจมตีแบบ Brute Force ไปยังฐานข้อมูล MySQL ที่ออนไลน์อยู่บนอินเทอร์เน็ต เพื่อให้ได้สิทธิ์เป็น Root ของระบบ จากนั้นจะทำการขโมยข้อมูลในฐานข้อมูลออกไป แล้วลบข้อมูลทั้งหมดทิ้ง เหลือไว้เพียงฐานข้อมูลที่ระบุข้อความเรียกค่าไถ่และช่องทางติดต่อเท่านั้น

จากการตรวจสอบพบว่า การโจมตีทั้งหมดมาจากหมายเลข IP เดียวกัน คือ 109.236.88.20 ซึ่งเป็นหมายเลข IP ที่บริษัทโฮสติ้ง ชื่อว่า WorldStream จากประเทศเนเธอร์แลนด์เป็นเจ้าของ อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตี ไม่สามารถระบุได้แน่ชัดว่ามาจากแฮ็คเกอร์คนหรือกลุ่มเดียวกัน เนื่องจากมีวีธีการโจมตีและช่องทางเรียกค่าไถ่ต่างกัน เช่น เป้าหมายบางรายหลังถูกโจมตีแล้ว แฮ็คเกอร์จะสร้างฐานข้อมูลชื่อว่า “PLEASE_READ” และตารางชื่อว่า “WARNING” ซึ่งระบุข้อความเรียกค่าไถ่ แต่บางรายแฮ็คเกอร์กลับสร้างตาราง “WARNING” ไว้ในฐานข้อมูลที่มีอยู่แล้ว

นอกจากนี้ พบว่าการโจมตีบางส่วนมีเฉพาะการลบข้อมูลในฐานข้อมูลทั้งหมดทิ้งเพียงอย่างเดียว ไม่ได้มีการขโมยข้อมูลออกไป ดังนั้นเจ้าของฐานข้อมูลควรตรวจสอบ Log ให้ดีก่อนว่า ข้อมูลของตนถูกขโมยหรือไม่ ก่อนที่จะเสียเงินจ่ายค่าไถ่ไปฟรีๆ

ด้านล่างแสดงข้อความเรียกค่าไถ่ในฐานข้อมูล พบว่ามี 2 แบบ คือ ให้เหยื่อติดต่อกลับผ่านทางอีเมลเพื่อจ่ายค่าไถ่ และให้จ่ายค่าไถ่ผ่านเว็บไซต์ในเครือข่าย Tor

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

เมื่อตรวจสอบบัญชี Bitcoin ที่ระบุอยู่ในข้อความเรียกค่าไถ่ พบว่ามีการชำระเงินรวมแล้ว 10 ครั้ง ซึ่งคาดว่ามาจากการจ่ายค่าไถ่ทั้งหมด

GuardiCore แนะนำให้ผู้ดูแลระบบฐานข้อมูลปฏิบัติตามคู่มือด้านความมั่นคงปลอดภัยของ MySQL เพื่อป้องกันการถูกโจมตีเพื่อเรียกค่าไถ่ ไม่ว่าจะเป็นการสำรองข้อมูลในฐานข้อมูลเป็นประจำ การยกเลิกการใช้บัญชี Root หรืออย่างน้อยก็เปลี่ยนไปใช้รหัสผ่านที่แข็งแกร่ง ยากต่อการถูกโจมตีแบบ Brute Force

ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/





About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

5 โปรเจกต์ที่น่าจับตามองสำหรับ Data Science และ Machine Learning บน GitHub เดือนมกราคม 2018

GitHub นั้นถือเป็นเครื่องมือยอดฮิตสำหรับโปรแกรมเมอร์ซึ่งหลักๆ นั้นนำมาใช้เพื่อบริหารจัดการเวอร์ชันของโค้ดในโปรเจกต์ต่างๆ นอกจากนั้นยังสามารถเปิดแชร์ให้ผู้อื่นได้ รวมถึงผู้สนใจสามารถทำการผนวกโค้ด (Forking) เข้ามาในโปรเจกต์ใหม่ของตนเองได้ซึ่งยังสามารถรับการอัปเดตหากเจ้าของต้นฉบับนั้นมีการเปลี่ยนแปลงโค้ด ในหัวข้อนี้เราจะมาพาไปดูโปรเจกต์สำหรับชาว Data Science และ AI เจ๋งๆ ในเดือนมกราคมที่ผ่านมาได้รับชมกัน