เตือนผู้ใช้ MySQL เสี่ยงถูกโจมตีฐานข้อมูลเรียกค่าไถ่

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาเตือนภัยถึงการโจมตีเรียกค่าไถ่รูปแบบใหม่ พุ่งเป้าไปยังระบบฐานข้อมูล MySQL โดยจะทำการขโมยแล้วลบข้อมูลออกจากฐานข้อมูล พร้อมทิ้งข้อความเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) เพื่อแลกกับการนำข้อมูลที่ถูกขโมยไปกลับคืนมา

Credit: Bacho/ShutterStock

GuardiCore ระบุว่า ตรวจพบการโจมตีเรียกค่าไถ่ดังกล่าวเมื่อวันที่ 12 กุมภาพันธ์ ซึ่งดำเนินไปเป็นระยะเวลาเพียงแค่ 30 ชั่วโมงเท่านั้น แต่มีฐานข้อมูลตกเป็นเหยื่อหลายร้อยเครื่อง โดยแฮ็คเกอร์ใช้วิธีโจมตีแบบ Brute Force ไปยังฐานข้อมูล MySQL ที่ออนไลน์อยู่บนอินเทอร์เน็ต เพื่อให้ได้สิทธิ์เป็น Root ของระบบ จากนั้นจะทำการขโมยข้อมูลในฐานข้อมูลออกไป แล้วลบข้อมูลทั้งหมดทิ้ง เหลือไว้เพียงฐานข้อมูลที่ระบุข้อความเรียกค่าไถ่และช่องทางติดต่อเท่านั้น

จากการตรวจสอบพบว่า การโจมตีทั้งหมดมาจากหมายเลข IP เดียวกัน คือ 109.236.88.20 ซึ่งเป็นหมายเลข IP ที่บริษัทโฮสติ้ง ชื่อว่า WorldStream จากประเทศเนเธอร์แลนด์เป็นเจ้าของ อย่างไรก็ตาม เมื่อพิจารณาจากรูปแบบการโจมตี ไม่สามารถระบุได้แน่ชัดว่ามาจากแฮ็คเกอร์คนหรือกลุ่มเดียวกัน เนื่องจากมีวีธีการโจมตีและช่องทางเรียกค่าไถ่ต่างกัน เช่น เป้าหมายบางรายหลังถูกโจมตีแล้ว แฮ็คเกอร์จะสร้างฐานข้อมูลชื่อว่า “PLEASE_READ” และตารางชื่อว่า “WARNING” ซึ่งระบุข้อความเรียกค่าไถ่ แต่บางรายแฮ็คเกอร์กลับสร้างตาราง “WARNING” ไว้ในฐานข้อมูลที่มีอยู่แล้ว

นอกจากนี้ พบว่าการโจมตีบางส่วนมีเฉพาะการลบข้อมูลในฐานข้อมูลทั้งหมดทิ้งเพียงอย่างเดียว ไม่ได้มีการขโมยข้อมูลออกไป ดังนั้นเจ้าของฐานข้อมูลควรตรวจสอบ Log ให้ดีก่อนว่า ข้อมูลของตนถูกขโมยหรือไม่ ก่อนที่จะเสียเงินจ่ายค่าไถ่ไปฟรีๆ

ด้านล่างแสดงข้อความเรียกค่าไถ่ในฐานข้อมูล พบว่ามี 2 แบบ คือ ให้เหยื่อติดต่อกลับผ่านทางอีเมลเพื่อจ่ายค่าไถ่ และให้จ่ายค่าไถ่ผ่านเว็บไซต์ในเครือข่าย Tor

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

เมื่อตรวจสอบบัญชี Bitcoin ที่ระบุอยู่ในข้อความเรียกค่าไถ่ พบว่ามีการชำระเงินรวมแล้ว 10 ครั้ง ซึ่งคาดว่ามาจากการจ่ายค่าไถ่ทั้งหมด

GuardiCore แนะนำให้ผู้ดูแลระบบฐานข้อมูลปฏิบัติตามคู่มือด้านความมั่นคงปลอดภัยของ MySQL เพื่อป้องกันการถูกโจมตีเพื่อเรียกค่าไถ่ ไม่ว่าจะเป็นการสำรองข้อมูลในฐานข้อมูลเป็นประจำ การยกเลิกการใช้บัญชี Root หรืออย่างน้อยก็เปลี่ยนไปใช้รหัสผ่านที่แข็งแกร่ง ยากต่อการถูกโจมตีแบบ Brute Force

ที่มา: https://www.bleepingcomputer.com/news/security/database-ransom-attacks-have-now-hit-mysql-servers/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell ชี้ ภูมิภาค APJ ยังมีโอกาสในด้าน AI อีกมาก พร้อมเผยคาดการณ์ 5 เทรนด์ AI แห่งปี 2025 

แม้ว่า Generative AI กำลังเริ่มมีการปรับใช้ในภาคธุรกิจอย่างจริงจังมากขึ้น แต่ก็ต้องยอมรับว่าวิวัฒนาการของเทคโนโลยีนั้นยังดูไม่ได้แผ่วหรือว่าช้าลงไปแม้แต่น้อย เพราะเราสามารถเห็น Breakthrough หรือนวัตกรรมใหม่ ๆ ออกมาจากอุตสาหกรรมได้ภายในระยะเวลาไม่กี่เดือนเท่านั้น หรือบางครั้งอาจจะเป็นรายสัปดาห์ก็ว่าได้ จากงานแถลงข่าว Dell Technologies (Dell) …

TISCO จับมือ Google Cloud ยกระดับบริการทางการเงินยุคดิจิทัลด้วยเทคโนโลยี AI [PR]

TISCO ประกาศความร่วมมือครั้งสำคัญกับ Google Cloud เพื่อยกระดับการให้บริการทางการเงินอย่างยั่งยืน โดยส่งเสริมการใช้ AI ขับเคลื่อนประสิทธิภาพการทำงาน ควบคู่กับการพัฒนาศักยภาพของพนักงานให้พร้อมสำหรับอนาคต มุ่งหวังการสร้างประสบการณ์ใหม่ที่ดีและหาโซลูชันที่ตอบโจทย์ความต้องการให้กับลูกค้า