MySQL-databases doelwit van ransomware-gijzelingen
Na ransomware-aanvallen tegen MongoDB, Elasticsearch, CouchDB en Hadoop zijn nu ook MySQL-databases het doelwit geworden. Bij deze aanvallen van criminelen worden de gegevens in de database gegijzeld zodat de eigenaar deze terugkopen tegen een betaling.
Het beveiligingsbedrijf GuardiCore is een onderzoek gestart en heeft aanvallen waargenomen vanaf een Nederlands ip-adres. Het zou om een gehackte server gaan die de aanvaller voor zijn aanvallen gebruikt.
De databases worden gegijzeld via brute-force aanvallen op de gebruiker 'root', dit is de gebruikersnaam van de hoofdgebruiker. Normaal wordt bij ransomware de bestanden versleuteld, maar in dit geval worden de gegevens uit de database verplaatst naar criminelen, die via een nieuwe database de betalingsinstructies geven. Na betaling van vaak 0,2 bitcoin, wat ongeveer 225 euro is, zou de gebruiker zijn data hopelijk weer terug kunnen krijgen.
Het beveiligingsbedrijf waarschuwt slachtoffers die willen betalen om eerst te controleren of de aanvaller ook echt de data in bezit heeft. Bij de gemonitorde aanvallen bleek de aanvaller namelijk geen enkele kopie te bezitten.
Niet lucreatief
Deze manier van ransomware is minder lucreatief dan bij eerdere aanvallen op MongoDB. Vergeleken met MongoDB is MySQL vanaf de installatie al direct beveiligd met een wachtwoord. Bij MongoDB moet dit handmatig nog ingesteld worden . Zo is er twee jaar geleden tijdens een ander onderzoek ontdekt dat er veel MongoDB-databases open en bloot lagen.
Ook worden MySQL databases veel gebruikt op hostingplatformen voor websites, waarbij deze in de praktijk vaak in geback-upt zullen worden. Daarnaast zijn veel MySQL-installatie vanwege een firewall ook niet direct bereikbaar vanaf buitenaf.
Gerelateerde nieuwsberichten
28/02/2024 LockBit website door politie gekraakt via mogelijk lek in PHP
05/04/2016 Magento-gebruikers slachtoffer van ransomware
Om te reageren heb je een account nodig en je moet ingelogd zijn.