85.000 servidores MySQL afectados en una campaña activa de ransomware



Los atacantes presionan a las víctimas para que paguen un rescate publicando y ofreciendo a la venta datos robados en una campaña que se remonta a enero.

Una campaña activa de ransomware dirigida a los servidores de bases de datos MySQL está presionando a las víctimas para que paguen un rescate publicando y vendiendo información robada en la Dim Website, informan los investigadores.

La campaña, que Guardicore Labs llama «Be sure to_Read through_Me», comenzó en enero de 2020. Hasta ahora, se han violado al menos 85.000 servidores. Dado que normalmente se roban varias bases de datos de una sola víctima, los atacantes tienen 250.000 bases de datos a la venta en sus paneles.

El primer ataque se detectó el 24 de enero Desde entonces, los sensores de Guardicore han informado de un full de 92 ataques. Los ataques se originan en 11 direcciones IP diferentes, la mayoría de las cuales son de Irlanda y el Reino Unido.

Este año se han observado dos variantes de esta campaña. En el primero, que se desarrolló desde enero hasta finales de noviembre, los atacantes dejaron una nota de rescate con la dirección de su billetera, la cantidad de Bitcoin a pagar y una dirección de correo electrónico para «soporte técnico». Se transfirió un whole de $ 24,906 en Bitcoin a las billeteras de los atacantes.

Los atacantes intensificaron su juego para la segunda fase, que comenzó el 3 de octubre y duró hasta finales de noviembre. Ya no se les pidió a las víctimas que pagaran directamente a una billetera de Bitcoin y no hubo comunicación por correo electrónico. Los atacantes lanzaron un sitio world wide web en Tor donde las víctimas podían pagar y donde también filtraron bases de datos pertenecientes a víctimas que no pagaron. Este sitio enumera las 250.000 bases de datos, que contienen 7 TB de información robada.

Los investigadores llaman a la cadena de ataque «extremadamente basic». Los atacantes comienzan con una contraseña de fuerza bruta en el servicio MySQL. Una vez que tienen éxito, ejecutan una serie de consultas en la base de datos y recopilan datos sobre las tablas y los usuarios existentes. Al ultimate, los datos del objetivo se archivan en un archivo comprimido, que se envía al servidor de los atacantes y se elimina de la foundation de datos.

Hay casi 5 millones de servidores MySQL conectados a Online en todo el mundo, señalan los investigadores.

Leer el completo Informe de Guardicore Labs para más detalles.

Rapid Hits de Darkish Looking through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial