.
Bancos de dados PostgreSQL e MySQL expostos publicamente com senhas fracas estão sendo eliminados de forma autônoma por um bot de extorsão malicioso – que marca quem paga e quem não recupera seus dados.
De origem desconhecida, o bot viola rotineiramente bancos de dados mal protegidos poucas horas após exposição à Internet, de acordo com pesquisadores de segurança da Border0.
Em experimentos repetidos que envolveram a execução de um servidor PostgreSQL em uma VM, usando credenciais fracas (usuário: postgres, senha: senha), o bot comprometeu com sucesso os bancos de dados fictícios várias vezes ao dia.
A investigação começou depois que o programador Amos Wenger twittou (X-ed?) sobre seu banco de dados aparentemente sendo resgatado “imediatamente” após expor acidentalmente seu servidor Postgres.
O bot verifica a Internet em busca de servidores PostgreSQL e MySQL para força bruta e inspeciona bancos de dados.
Uma vez dentro, o número de tabelas disponíveis é determinado e um instantâneo do banco de dados é obtido antes que todas as tabelas e bancos de dados sejam excluídos usando os comandos ‘DROP TABLE’ e ‘DROP DATABASE’.
O bot também encerra todos os processos de back-end conectados a qualquer banco de dados que não seja seu alvo, o que presumivelmente é feito para evitar que os administradores interrompam o ataque.
Depois que o dano é feito, uma nota de resgate é deixada para trás, instruindo as vítimas a pagar uma taxa para recuperar o acesso aos seus dados.
A nota de resgate começa com: “Todos os seus dados foram salvos em backup” – o que é mentira, descobriram os pesquisadores. A análise das consultas do bot mostrou que, ao “fazer backup” dos dados antes de eliminar todas as tabelas, ele salvou apenas as primeiras 20 linhas de cada tabela, o que significa que as vítimas que pagarem o resgate nunca recuperarão todos os dados excluídos.
Uma olhada no blockchain revela que o bot realmente conseguiu enganar algumas vítimas para que pagassem, arrecadando pouco mais de US$ 3.000 de seis vítimas em apenas uma semana.
Uma vez paga na carteira digital especificada na nota de resgate, a criptografia é transportada para uma carteira separada abastecida com US$ 2.950.489 em Bitcoin, pelo menos no momento da redação deste artigo.
A carteira secundária está instalada e funcionando desde 25 de agosto de 2021 e recebe rotineiramente vários pagamentos diários na casa dos milhares de dólares, sugerindo a possibilidade de que o bot de banco de dados esteja sendo administrado por um indivíduo ou grupo que se envolve em outras formas mais lucrativas de crime cibernético.
Embora o experimento tenha sido executado usando apenas servidores Postgres, os pesquisadores também descobriram uma campanha semelhante visando bancos de dados MySQL com tráfego originado do mesmo intervalo /24.
O endereço IP é do provedor de hospedagem holandês Limenet, mas a inclusão de um domínio russo na nota de resgate sugere que o invasor está tentando ocultar sua verdadeira localização.
Tal como acontece com a campanha Postgres, o bot MySQL afirma fazer backup de todos os dados da vítima, mas em vez disso salva apenas as primeiras dez linhas de cada tabela e exige uma taxa de recuperação de 0,017 Bitcoin – aproximadamente o dobro da taxa exigida pelo bot Postgres.
“Como último passo, o bot tentou parar o servidor MySQL usando o comando ‘SHUTDOWN’ – um sinal claro de sua intenção calculada e destrutiva, algo que sem dúvida chamará sua atenção”, disse a equipe do Border0.
O especialista em segurança Kevin Beaumont destacou adicionalmente que bots semelhantes também têm como alvo os bancos de dados Microsoft SQL, mas não ofereceu mais detalhes.
Este tipo de malware não é novidade – a Unidade 42 da Palo Alto Networks chamou a atenção para atividades semelhantes no ano passado – mas a velocidade das explorações surpreendeu os espectadores.
Registro os leitores saberão, de modo geral, que é melhor evitar a exposição de um banco de dados à Internet pública, embora todos saibamos que isso acontece muito ocasionalmente, de vez em quando…
Existem milhões de servidores Postgres e MySQL públicos: as varreduras Shodan realizadas pela Border0 encontraram mais de 800.000 para Postgres e mais de 3,2 milhões para MySQL.
É verdade que alguns deles podem ser honeypots, mas com toda a probabilidade ainda é um grande conjunto de alvos para um bot de extorsão.
“Não é surpreendente ver muitos serviços de banco de dados abertos na nuvem pública”, disseram os pesquisadores. “Se você executa seu banco de dados, digamos, DigitalOcean ou mesmo AWS, então esses provedores de nuvem nem sempre facilitam o acesso ao seu banco de dados a partir de seu desktop, ou mesmo uma carga de trabalho em execução em uma região ou provedor diferente. Você pode não ter outra opção do que abri-lo de qualquer lugar. E, embora seja uma prática ruim, não é tão surpreendente que existam tantos bancos de dados abertos.
“Além disso, para usuários do Docker, é importante saber que usar docker run -p publicar a porta de um contêiner altera seu iptables regras para encaminhamento de porta baseado em DNAT. Este recurso do Docker gerencia a comunicação externa para contêineres, substituindo quaisquer configurações de negação padrão em seu iptables tabela INPUT, tornando assim a porta acessível publicamente.”
Para aqueles que insistem em expor publicamente seus bancos de dados, usar uma senha forte para protegê-los ajudará bastante a evitar que você se torne vítima de ataques contínuos de força bruta. ®
.
