Sebelumnya pada bulan Januari, kita mendengar tentang MongoDB ransomware yang menghapus data dari bukan ratusan tapi ribuan komputer dan memaksa korban untuk membayar uang tebusan.
MongoDB ransomware sekarang kembali berita yang sama tapi kali ini, bahkan lebih kuat dan kampanye juga cukup canggih dalam desain. Dalam foya serangan terakhir, ratusan database MySQL telah ditargetkan dan penyerang menuntut 0,2 bitcoin (approx. $ 234) dari masing-masing korban.
Hal itu juga dicatat oleh GuardiCore bahwa serangan itu dimulai dengan penjahat cyber brute-memaksa password root dari database MySQL dan setelah log in tabel dari database diekstraksi. Bahkan, dua versi yang berbeda dari serangan ini telah diidentifikasi; dalam versi pertama, para penyerang menambahkan tabel baru dengan nama PERINGATAN ke database yang sudah ada.
tabel baru ini berisi informasi tentang uang tebusan yang diminta, alamat email dari para penyerang dan alamat pembayaran Bitcoin. Versi kedua ini berbeda seperti dalam satu tabel baru bertuliskan nama PLEASE_READ ditambahkan ke database yang baru dibuat dan sesudahnya, penyerang menghapus database yang sudah ada di server dan hanya terputus. PLEASE_READ juga berisi catatan tebusan sementara database dikirim ke server penyerang. Dalam kedua versi, korban diminta untuk membayar 0,2 BTC sebagai tebusan dan mereka diwajibkan untuk berkomunikasi dengan para penyerang di backupservice@mail2tor.com alamat yang sama.
Menurut temuan GuardiCore ini, serangan ini mulai terjadi dari tanggal 12 Februari dan terus menyerang server MySQL selama 30 jam di mana satu alamat IP 109.236.88.20 diidentifikasi terlibat.
Bitcoin wallet disebutkan dalam tebusan catatan
Analisis lebih lanjut menunjukkan bahwa alamat IP ini milik sebuah perusahaan penyedia layanan web hosting server dari Belanda yaitu WorldStream. GuardiCore diberitahu WorldStream tentang serangan sebagai percaya bahwa terlibat penyerang telah dikompromikan mail server yang terakhir karena berfungsi sebagai HTTP (s) dan server FTP.
Perlu dicatat bahwa dua dompet bitcoin yang berbeda yang digunakan untuk setiap versi serangan itu dan beberapa telah membayar uang tebusan. Dalam hal ini, GuardiCore memiliki beberapa saran untuk para korban. Perusahaan menyatakan bahwa sebelum membayar uang tebusan, penting untuk mengkonfirmasi apakah penyerang memiliki data Anda dalam bentuk restorable atau tidak karena analisis mereka mengungkapkan bahwa tidak ada bukti exfiltration data yang sama sekali.
Selain itu, penting untuk mengamankan server MySQL 'dengan menambah tingkat perlindungannya sehingga untuk memastikan bahwa serangan tersebut tidak terjadi di masa depan. Hal ini dapat dicapai dengan memastikan password yang lebih kuat dan menerapkan otentikasi server. GuardiCore sendiri juga menawarkan layanan monitoring untuk mengamankan server MySQL, yang dapat Anda gunakan untuk melindungi mereka.
Sumber : Hack Read
0komentar:
Post a Comment