全球MySQL資料庫淪為新一輪勒索軟體攻擊目標

攻擊誘因

“逐利”是攻擊者最大的驅動力，只要收益高於成本就值得幹一票。如今，網際網路公司大量使用各種開源資料庫儲存重要的業務資料，一旦資料被毀且無法恢復，會造成較大損失。此外，這類網際網路公司有相當一部分安全防護意識薄弱，攻擊成本低，也有一定能力支付較小金融的贖金，於是這波人就成了勒索軟體理想的攻擊目標。

新一輪攻擊目標——MySQL資料庫

作為攻擊行為的一部分，攻擊者會暴力破解未設防的MySQL伺服器，列舉現有的資料庫及表格，竊取資料，隨後建立一個新的圖表來指導使用者支付0.2比特幣（約合200美元）的贖金。攻擊者聲稱，支付贖金後就會為受害者提供訪問資料庫的許可權，但是這並不是事實的全部，因為有些資料是被刪除了而並非被盜。

今年1月份曝光了類似的攻擊事件，負責監視MongoDB和Hadoop資料庫受攻擊情況的安全研究人員Victor Gevers表示，共有28000個未設防的MongoDB資料庫遭到入侵，攻擊者竊取資料勒索0.2比特幣（約合200美元）贖金。不久後，更多的攻擊者開始針對未設防的開源資料庫發起勒索攻擊，造成30000多個MongoDB及Elasticsearch應用，126 個Hadoop應用和452個CouchDB應用遭到入侵。

和攻擊MongoDB 及Elasticsearch時一樣，攻擊者利用的是Hadoop和CouchDB的預設安裝配置，也就是可以在不需要憑證或很容易得到憑證的情況下進行簡單的攻擊。

研究人員還發現，攻擊者會在目標資料庫上覆寫彼此的勒索信，且他們不再是複製原始資料，而是直接刪除這些資料，所以受害者即便支付了贖金也無法檢索到資料。

現在，MySQL資料庫也成為新一輪攻擊目標：攻擊者通過線上工具可以搜尋使用弱密碼的伺服器，然後通過暴力破解獲得訪問許可權，隨後用自己建立的圖表替換原有資料庫並附上勒索資訊。在某些情況下，他們還會直接刪除資料庫，這樣一來，即便受害者交付贖金也無法恢復資料。

根據安全公司的分析發現，從2月12日午夜開始的30個小時內共觀察到數百次攻擊活動。所有的攻擊行為被追溯到同一IP地址（109.236.88.20），攻擊伺服器都由worldstream.nl（一家荷蘭web託管公司）託管。研究人員認為，攻擊者當時使用了一個受損郵件伺服器，該伺服器同時也作為HTTP／HTTPS和 FTP伺服器。

GuardiCore研究主管Ofri Ziv在回覆郵件調查時表示，目前此類攻擊已經蔓延至全球各地，且沒有顯示出指向任何特定資料庫的跡象。對於受損資料庫的問題，他暫時不能提供一個準確的估算數字，但是他說，

由於易受攻擊的弱密碼問題，全球成千上萬的MySQL伺服器正在面臨網路威脅。

針對MySQL的攻擊手法和MongoDB非常相像，一開始攻擊者都會留給受害者一封名為“WARNING”和“PLEASE_READ”的勒索信。然而，Ziv認為目前還沒有辦法確定現在針對MySQL伺服器的，是否與當時針對MongoDB的屬於同一幫黑客所為。但即便不是同一幫人所為，也肯定是受其啟發所為。

雖然勒索信中的比特幣地址顯示了活動跡象，但是GuardiCore認為那並不是受害者實際上交付了贖金的證據。因為交易行為可能是攻擊者自導自演的，目的是為了鼓勵受害者支付贖金。

GuardiCore在一篇博文中寫道，

在交付贖金之前，我們強烈建議您先去確認攻擊者是否真的掌握了你的資料，以及這些資料是否能在交付贖金後得以恢復。因為在我們監控攻擊的過程中，找不到任何資料轉儲和滲漏操作。

針對MySQL伺服器面臨的風險問題，安全公司指出，必須確保安全管理員使用了強密碼和強制性認證；嚴格限制訪問源，而且最好在防火牆上限制；修改預設開放埠等。

GuardiCore還指出，實時監控你的聯網裝置／伺服器是能夠快速響應洩漏事件至關重要的一步。如此一來，你的安全團隊就能夠為這些伺服器／裝置執行合適的設定（如防火牆、資料限制等）。定期資料備份可以在必要時刻幫助你恢復大部分有價值的資料，不用等到攻擊發生時，被迫交付贖金來恢復資料。