Hackers están vendiendo más de 85,000 bases de datos SQL en la dark web

Los hackers entran en las bases de datos, roban su contenido, las retienen para obtener un pago por el rescate durante 9 días. Y, luego la venden al mejor postor si el propietario de la base de datos no quiere pagar la demanda de rescate.

Más de 85,000 bases de datos SQL están actualmente a la venta en un portal en la dark web por un precio de solo $550 cada base de datos.

El portal, que un investigador descubrió y compartió es parte de un esquema de rescate de base de datos. El mencionado portal ha estado en marcha desde principios de 2020.

Bases de datos

Los hackers han estado ingresando a las bases de datos SQL, descargando tablas, eliminando las originales y dejando notas de rescate. En la notan les dicen a los propietarios del servidor que se comuniquen con los atacantes para recuperar sus datos.

Si bien las notas de rescate iniciales pedían a las víctimas que se contactaran con los atacantes por correo electrónico esto cambió. A medida que la operación crecía a lo largo del año, los atacantes también automatizaron su esquema de rescate de base de datos. Ahora se apoyan de un portal web. Este sitio fue primero alojado en línea en sqldb.to y dbrestore.to, y luego se movió una dirección tipo onion, en la dark web.

Nota de rescate

A las víctimas que acceden a los sitios del grupo se les pide que ingresen una identificación única. La identificación se encuentra en la nota de rescate, esto antes de que se les presente la página donde se venden sus datos.

Página de inicio
Página en donde se dan detalles de la base de datos asociada al identificador

Si las víctimas no pagan dentro de un período de nueve días, sus datos se subastan en otra sección del portal.

Página de subastas
Adquisición de una base de datos

Precio

El precio por recuperar o comprar una base de datos SQL robada debe pagarse en bitcoin. El precio real ha variado a lo largo del año a medida que el tipo de cambio BTC a USD fluctuaba. No obstante, generalmente se ha mantenido centrado en una cifra de $500 para cada sitio, independientemente del contenido que incluyan.

Esto sugiere que tanto las intrusiones de bases de datos como las páginas web de rescate / subasta están automatizadas. Y, que los atacantes no escanean las bases de datos hackeadas en busca de datos que puedan contener una mayor concentración de información personal o financiera.

Ataques

Los ataques pasados ​​son fáciles de identificar ya que el grupo generalmente ha colocado sus demandas de rescate en tablas SQL tituladas “ADVERTENCIA”. Según las diversas quejas reportadas hasta la fecha, la mayoría de las bases de datos parecen ser servidores MySQL. Sin embargo, no descartamos que otros sistemas de bases de datos relacionales SQL como PostgreSQL y MSSQL también puedan haber sido afectados.

Las señales de estos ataques de rescate se han ido acumulando en el transcurso de 2020. Por ello, la cantidad de quejas de los propietarios de servidores que encontraron la nota de rescate dentro de sus bases de datos aparecieron en Reddit. También pudimos ver quejas en foros de MySQL, foros de soporte técnico, publicaciones de Medium y blogs privados.

Las direcciones de Bitcoin utilizadas para las demandas de rescate también se han registrado en BitcoinAbuse.com. Este es un sitio web que indexa las direcciones de Bitcoin utilizadas en operaciones de ciberdelito.

Estos ataques marcan el esfuerzo más concertado para rescatar bases de datos SQL desde el invierno de 2017. En esa fecha los hackers atacaron los servidores MySQL. Esto fue parte de una serie de ataques que también se dirigieron a los servidores MongoDB, Elasticsearch, Hadoop, Cassandra y CouchDB.

Deja un comentario