Border0 araştırmacıları, güvenliği zayıf PostgreSQL ve MySQL sunucularını çevrimiçi ortamda açığa çıkaran kullanıcıların veritabanlarının bir fidye yazılımı botu tarafından silinmesi tehlikesiyle karşı karşıya olduğu konusunda uyarıyor.
Saldırganlar, verileri iade etmek/yayınlamamak için küçük bir meblağ talep eder, ancak ödeme yapanlar, verilerini geri alamazlar çünkü bot, tamamını silmeden önce yalnızca küçük bir kısmını alır.
Fidye yazılımı botu nasıl çalışır?
Bir tarafından teşvik edildi son tweet Posterde, yanlışlıkla açığa çıkan PostgreSQL sunucusunun “hemen” ele geçirildiği ve silindiği paylaşıldığında, Border0 araştırmacıları basit bir PostgreSQL sunucusunun, İnternet’in herhangi bir yerinden erişilebilen basit bir PostgreSQL sunucusunun olup olmadığını ve ne kadar hızlı olduğunu görmek istediler. postgres kullanıcı adı ve şifre şifre – çevrimiçi ortamda açığa çıktıklarında aynı bot tarafından hedef alınacaktır.
Deneyi birkaç kez yaptılar ve sonuç hep aynıydı: Birkaç saat içinde bot:
- Sunucuya erişildi (Hollandalı bir barındırma sağlayıcısının IP’sinden)
- Veritabanlarını belirledim ve araştırdım
- Veritabanlarındaki her tablonun anlık görüntüsünü aldı (ancak yalnızca ilk 10 veya 20 satırın)
- Tüm veritabanlarını sildim
- Tüm arka uç süreçleri sonlandırıldı (yöneticilerin veya otomatik sistemlerin savunma eylemlerini engellemesi muhtemeldir)
- adında yeni bir veritabanı oluşturuldu benioku_to_recoverfidye notunu içeren
Fidye notu (Kaynak: Border0)
“Verileri almamaya karar verirseniz veritabanınızı çevrimiçi pazarlarda satabilir, kullanıcılarınıza açıklayabilir ve onlardan ödeme talep edebiliriz, çevrimiçi ihlal forumlarında açıklayabilir veya silebiliriz. Saldırganlar bağlantılı “kılavuzda”, “Varsa ülkenizdeki GDPR yetkilileriyle iletişime geçeceğiz” diye tehdit ediyor.
Saldırganlar, PostgreSQL veritabanlarını sildikten sonra 0,007 BTC (yaklaşık 330 $) istiyor. Botun MySQL veritabanlarını silmesi durumunda fidye 0,017 BTC’dir (yaklaşık 730 $). Her iki durumda da fidyeyi ödemek kurbanların verilerini geri almasıyla sonuçlanmayacak.
Bu yaklaşım saldırganlar açısından ne kadar etkili?
Border0 araştırmacıları, Shodan gibi arama motorları aracılığıyla kolayca bulunabilen, halka açık PostgreSQL ve MySQL sunucularının eksik olmadığını belirtti.
“Genel bulutta çok sayıda açık veritabanı hizmeti görmek şaşırtıcı değil. Veritabanınızı örneğin DigitalOcean’da veya hatta AWS’de çalıştırıyorsanız, bu bulut sağlayıcıları veritabanınıza masaüstünüzden, hatta farklı bir bölge veya sağlayıcıda çalışan bir iş yükünden erişmenizi her zaman kolaylaştırmaz. Herhangi bir yerden açmaktan başka seçeneğiniz olmayabilir” diye açıkladılar.
“Ayrıca Docker kullanıcıları için, bir konteynerin portunu yayınlamak için docker run -p kullanmanın DNAT tabanlı port yönlendirme için iptables kurallarınızı değiştireceğini bilmek önemlidir. Bu Docker özelliği, iptables INPUT tablonuzdaki varsayılan reddetme ayarlarını geçersiz kılarak konteynerler için harici iletişimi yönetir ve böylece bağlantı noktasını herkese açık olarak erişilebilir hale getirir.
“Fidye notunda belirtilen Bitcoin adresine daha yakından bakıldığında etkinlik ortaya çıkıyor. Son birkaç gün içinde bu adrese beş ayrı işlem yapıldı ve toplamda 2.400 ABD dolarının biraz üzerinde gelir elde edildi. Araştırmacılar ayrıca şunu da paylaştı: Fonlar kendisine her aktarıldığında hızla başka bir cüzdana aktarılıyordu.
The Register’a göre, bu diğer cüzdan “25 Ağustos 2021’den bu yana çalışır durumda ve rutin olarak binlerce dolarlık günlük ödemeler alıyor; bu da veritabanı botunun çeşitli faaliyetlerde bulunan bir kişi veya grup tarafından çalıştırıldığı olasılığını akla getiriyor.” Siber suçların daha kazançlı diğer yolları.”
Güvenliği zayıf olan veritabanı sunucularına yönelik bu tür otomatik saldırılar yıllardır devam ediyor. 2020’de Intruder araştırmacıları, güvenli olmayan MongoDB veritabanlarının nasıl benzer şekilde tehlikeye atıldığını ve silindiğini ve sahiplerinin neredeyse aynı fidye notuyla karşı karşıya kaldığını gösterdi.
Güvenlik araştırmacısı Kevin Beaumont, bu sefer MariaDB veritabanlarının da hedef alındığını söylüyor.