Posté le décembre 10, 2020 à 16:32
LES HACKERS METTENT EN VENTE PLUS DE 85 000 BASES DE DONNÉES SQL SUR DARKNET
Les attaques avec demande de rançon en bitcoin ont considérablement augmenté depuis l’essor du marché de la cryptomonnaie cette année. Les attaquants utilisent désormais un large éventail d’outils et de méthodes de piratage pour compromettre les serveurs et voler des fichiers. La majorité des hackers les vendent sur le darknet lorsque les négociations de rançon avec les victimes ne se passent pas bien.
Un rapport récent a révélé que les hackers ont réussi à déjouer les systèmes de sécurité pour voler plus de 85 000 bases de données SQL afin de les vendre sur le portail du dark web.
Il y a eu plusieurs victimes d’attaques de logiciels de rançon cette année. Et avec l’utilisation prévue de plus en plus de technologies chaque année, les hackers pourraient ne pas s’arrêter de sitôt.
Selon le rapport, les hackers ont mis en vente les 85 000 bases de données SQL sur le darknet pour un prix de seulement 550 dollars par base de données.
Les hackers utilisent désormais des adresses sur le Net
Dans la plupart des cas, après une attaque par un logiciel de rançon, l’acteur malveillant laisse généralement une note de rançon demandant à la victime de le contacter par e-mail. Cependant, les acteurs malveillants ont changé de moyen de communication, passant du courrier électronique au portail web.
L’un de ces portails web aurait été hébergé sur le site sqibd.to avant le site dbrestore.to. Cependant, les hackers ont déplacé leur moyen de communication vers une adresse située sur le darknet.
Lorsque les victimes accèdent au site web du groupe de hackers, il leur est demandé d’utiliser l’identifiant laissé sur la note de rançon avant d’accéder à la page de demande de rançon. Il n’est pas surprenant que le groupe de hackers demande généralement aux victimes de payer la rançon en Bitcoin.
Le paiement en Bitcoin signifie que les hackers ont fait varier le prix de leur rançon tout au long de l’année car le prix de Bitcoin change régulièrement.
D’après les informations données, il semble que les pages web de rançon/enchère et les intrusions à la BDD soient automatisés. Cela signifie que le groupe de ransomware n’a pas analysé les données volées pour mettre un prix sur chacune des bases de données en fonction de leur niveau d’importance.
Certaines des données volées contiennent des informations financières, d’autres des informations personnelles. Cependant, les hackers ont tout regroupé sans faire de distinction entre eux.
Avant, il était plus facile d’identifier les attaquants car les groupes de hackers plaçaient généralement leurs demandes de rançon dans les tables SQL avec la légende « WARNING ».
Les hackers ont été occupés à pénétrer dans certaines bases de données SQL pour télécharger des tables, supprimer les originaux et placer des notes de rançon pour que les victimes puissent les contacter. Il n’est pas clair combien de victimes ont accepté de payer la rançon pour récupérer leur base de données. Mais avec la vente récente du nombre massif de bases de données sur le darknet, il semble que les négociations de rançon avec de nombreuses victimes ne se soient pas bien déroulées.
Les attaques par logiciel de rançon ont augmenté
Plusieurs victimes d’attaques par des logiciels de rançon se sont plaintes et ont admis avoir reçu des notes de rançon cachées dans leurs bases de données. Ceux qui ne respectent pas les demandes de rançon voient généralement leur base de données volée exposée sur le dark web.
D’après les plaintes reçues des victimes, la plupart des bases de données piratées semblent provenir de serveurs MySQL. Mais d’autres bases de données basées sur SQL, comme MSSQL et PostgreSQL, pourraient également être incluses dans l’attaque.
Le nombre d’adresses Bitcoin utilisées par les cybercriminels pour collecter des rançons a également augmenté sur le site BitcoinAbuse.com, un site qui répertorie les adresses Bitcoin.
La plus tristement célèbre attaque de MYSQL depuis 2017
Selon Bleeping Computer, le groupe de hackers responsable de ces piratages a utilisé les moyens et les outils les plus sophistiqués pour voler leurs victimes, et ce niveau est sans précédent depuis 2017.
En 2017, les acteurs malveillants ont délogé les serveurs MySQL dans une série d’attaques qui ont également visé les serveurs CouchDB, Cassandra, Hadoop, Elasticsearch, ainsi que les serveurs MongoDB.
La récente attaque a été décrite comme la plus notoire depuis celle de 2017. Et l’utilisation de Bitcoin comme méthode de paiement des rançons a permis de camoufler les hackers, car le système de paiement décentralisé n’offre pas la possibilité d’échanger les utilisateurs de portefeuilles.