Realizan ciberextorsión por lo datos comprometidos en MySQL

08/03/2017

El ransomware se ha convertido en uno de los ataques favoritos de los ciberdelincuentes para afectar a las empresas, pero no todos los intentos de extorsión cibernética se realizan con este tipo de malware.

Desde el comienzo del año, los atacantes han comprometiendo bases de datos, filtrando los datos de las mismas, vaciándolas y pidiendo dinero para devolver los datos. Sus objetivos han sido las bases de datos implementadas en MongoDB, CouchDB y Hadoop, y ahora han puesto en su mira a MySQL.

Según los investigadores de GuardiCore, los primeros ataques comienzan al 12 de febrero. Cientos de ellos fueron detectados y todos fueron rastreados a una dirección IP (109.236.88.20) alojada en la empresa de hosting WorldStream.

"El ataque es mediante un ataque fuerza bruta. Una vez conectado, busca una lista de las bases de datos existentes de MySQL y sus tablas y crea una nueva tabla llamada "WARNING" que incluye una dirección de correo electrónico de contacto, una dirección bitcoin y una demanda de pago", explicaron.

"En una variante del ataque, la tabla se agrega a una base de datos existente; en otros casos la tabla se agrega a una base de datos recién creada llamada 'PLEASE_READ'. A continuación, el atacante eliminará las bases de datos almacenadas en el servidor y se desconectará, a veces sin siquiera respaldarlas primero."

Protección y remediación

Es más que probable que se produzcan ataques similares de nuevo. Afortunadamente, proteger sus servidores contra ellos es fácil: use contraseñas más fuertes.

Minimizar los servicios disponibles desde Internet también es una buena idea, y la creación de un sistema de respaldos de seguridad robusto y automatizado es una necesidad, por lo que no tiene que preocuparse si los atacantes logran afectarlo.

Para aquellos cuyas bases de datos han sido afectadas, los investigadores de GuardiCore tienen el siguiente consejo: antes incluso de considerar pagar el rescate, asegúrese de que los atacantes realmente tienen sus datos.

"En los ataques que revisamos no pudimos encontrar evidencia de ninguna operación de descarga o filtración de datos", dieron a conocer.

Es interesante notar que las dos direcciones de Bitcoin a las que se supone que las víctimas transferirán dinero han recibido recientemente varios pagos, algunos de ellos aparentemente de víctimas.

Sin embargo, los pagos podrían ser tan fácilmente obtenidos de los propios atacantes y esto podría ser una simple maniobra para convencer a las víctimas de que otros ya han pagado el rescate, por lo que deberían hacerlo.