Bilgisayar Korsanları, 85.000’den fazla SQL Veri Tabanını Dark Web’de Satışa Çıkardı
Bilgisayar korsanları yaptıkları saldırılar ile veri tabanlarına giriyor, içerikleri çalıyor ya/ya da kriptoluyor ve fidye talep ediyor. Veri tabanının sahibinin fidye ödeme talebini geri çevirmesi halinde de, dark web ortamında en yüksek teklifi verene verileri satıyor.
85.000’den fazla SQL veritabanı şu anda bir dark web portalında veritabanı başına yalnızca 550 ABD Doları (4.300 tl) ücret ile satışa çıkarılmış durumda.
Bir güvenlik araştırmacısı tarafından basına sunulan portala göre, veri tabanlarının satış işleminin 2020’nin başından beri devam eden bir veri tabanı fidye planının parçası olduğu görülüyor.
Bilgisayar korsanları SQL veri tabanlarına giriyor, tabloları indiriyor, orijinallerini siliyor ve geriye fidye notları bırakarak sunucu sahiplerine verilerini geri almak için saldırganlarla iletişime geçmelerini söylüyor.
İlk fidye notlarında kurbanlardan, saldırganlar ile e-posta yoluyla iletişim kurmaları isteniyordu. Veri tabanları satış işlemini de sqldb.to ve dbrestore.to gibi siteler üzerinden gerçekleştirerek süreci otomatikleştirdiler. Son olarak da yıl boyunca büyüttükleri operasyonlarını bir Onion adresi* ile dark webe taşıdılar.
Korsanlarına sitelerine giden kurbanlardan, verilerinin satıldığı sayfaya giriş yapmadan önce fidye notunda belirtilmiş olan benzersiz bir kimlik bilgisi girmeleri isteniyor.
Veri tabanları ortalama 500 $ ücretle satışa çıkarılıyor
Çalınan bir SQL veri tabanını kurtarmanın veya satın almanın bedeli bitcoin olarak ödeniyor. BTC / USD döviz kuru dalgalandıkça gerçek fiyat yıl boyunca değişiklik gösterdi, ancak içeriğe bakılmaksızın genellikle her site için ortalama 500 $ civarında bir ücret talep ediliyor.
Bu, hem DB saldırılarının hem de fidye / açık artırma web sayfalarının otomatikleştirildiğini ve saldırganların, daha yüksek yoğunlukta kişisel veya finansal bilgi içerebilecek veriler için saldırıya uğramış veri tabanlarını incelemediğini gösteriyor.
Korsanlar başlarda saldırılarını genellikle “WARNING” başlıklı SQL tablolar ile kurbanlara bildirdiklerinden bunları tespit etmek zor olmuyordu. Saldırıya uğrayan veri tabanlarının çoğu MySQL sunucuları gibi görünse de, PostgreSQL ve MSSQL gibi sistemlerin de saldırıya uğramış olduğu düşünülüyor.
Bu fidye saldırılarının işaretleri 2020’nin başında ortaya çıktı ve yıl boyunca birikmeye devam etti. Fidye notunu veri tabanlarında bulan mağdurlar, şikayetlerini Reddit‘te, teknik destek forumlarında, Medium gönderilerinde ve özel bloglarda paylaştı.
Fidye talepleri için kullanılan Bitcoin adresleri, siber suç operasyonlarında kullanılan Bitcoin adreslerini indeksleyen bir web sitesi olan BitcoinAbuse.com‘da toplanıyor.
Bu saldırılar, bilgisayar korsanlarının MongoDB, Elasticsearch, Hadoop, Cassandra ve CouchDB sunucularını da hedef alan bir dizi saldırıda MySQL sunucularını vurduğu 2017 kışından bu yana SQL veritabanlarına yapılan en organize saldırılar olarak görülüyor.
Kaynak. zdnet.com
*Onion adres: onion alan adı, yalnızca Tor tarayıcısı aracılığıyla erişilebilen web site adresidir.