標籤: 資料庫

GandCrab 勒索病毒鎖定攻擊 MySQL 資料庫

趨勢科技 TrendMicro

資安研究人員發現有大量突發的攻擊事件,鎖定執行 MySQL 資料庫的 Windows 伺服器,透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現,會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫,並確認資料庫是否運行於 Windows 作業系統,然後執行惡意的 SQL 指令上傳檔案,擷取並協助執行勒索病毒。

發現這種入侵手法的資安研究員發現,這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆,並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器,這是 MySQL 預設使用的連接埠。

該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多,但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術,據報市佔率超過 50%

[延伸閱讀:深層網路提供勒索軟體即服務?這對企業有何影響?]

GandCrab 本身使用不同的攻擊媒介,因為這項軟體最初是使用 RigGrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告,透過新開發的漏洞攻擊套件傳遞勒索軟體,例如 FalloutJavaScript malwarespam attachments。透過種類廣泛的攻擊媒介,這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列

繼續閱讀

網路勒索集團清除了 12,000 多個 MongoDB 資料庫

趨勢科技 TrendMicro

過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。

這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。

Jain 最早是在四月份開始注意到這些攻擊,他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後,他發現了更多被清除的資料庫,以及兩個歹徒留下的電子郵件地址,這些地址指向 Unistellar 駭客集團。

該報告指出,駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫,並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後,就會將資料庫清除。而且在清除資料之前會先建立還原點,以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金,但最近的這起攻擊卻只留下電子郵件聯絡地址,以便受害者能和歹徒聯繫並商量贖金。

繼續閱讀

網路勒索集團清除了 12,000 多個 MongoDB 資料庫

趨勢科技 TrendMicro

過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。

這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。

繼續閱讀

企業成勒索病毒的金礦:Cerber是如何加密資料庫檔案?

趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢,這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作:加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率,所以拿這些關鍵資料作人質無疑可以影響公司業務,觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒,Cerber經歷過無數次的改版。它會利用更多技巧,包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台,甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說,前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金,光是今年7月就賺進近20萬美元。

圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。
圖1、與其他變種相比,Cerber 4.1.5要求比較少的贖金。

 

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER(RANSOM_CRYPJOKER.A)、SURPRISE(RANSOM_SURPRISE.A)、PowerWareRANSOM_POWERWARE.A)和Emper(Ransom_EMPER.A)等都將資料庫相關副檔名加入加密列表。包括了dBASE(.dbf)、Microsoft Access(.accdb)、Ability Database(.mdb)和OpenOffice(.odb)等檔案。想想看資料庫檔案對於企業來說有多麼重要,開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種(Ransom_CERBER.CADRansom_CERBER.A)一樣,設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定,勒索病毒偵測到下列語系就會終止自己:俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

圖2、夾帶Cerber的垃圾郵件樣本
圖2、夾帶Cerber的垃圾郵件樣本

繼續閱讀

反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP!

趨勢科技TrendMicro

剛看完《怪獸與他們的產地》的小英,透過app叫了一台車,搭上車後駕駛突然詢問她的名字是不是xx英並在OOO工作。驚訝的小英不禁開始懷疑自己是否曾經見過這位駕駛,殊不知自己的手機以及其它個資已公布於公開資料庫……。

通用 企業
上週日(2016年11月20日) 三款人氣APP爆出資安漏洞!根據雅虎新聞報導〈CM Security 及 WhatsCall 涉洩露用家資料 獵豹移動即日暫停功能〉,CM Security、Truecaller及Sync.ME總計收集全球超過30億筆聯絡資料,並儲存於公開資料庫供人查詢,而連絡資料包含姓名、連絡電話、社群帳戶資料。

雅虎新聞將個資曝光歸因於三款APP的「來電攔截功能」非法收集用家聯絡人名單,並上載經集成的公開的資料庫。用戶下載APP時為了啟用功能,需開放使用者權限,以Truecaller為例:Truecaller隱私政策聲明,公司將轉移、處理及儲存用戶個人資料至多個國家,並將資料與公司授權的第三方合作單位分享。

延伸閱讀>>
手機不設防?同意條款到底給軟體公司什麼權限呢?
什麼!7億安卓裝置受監控 個資通通流回中國

隨著網路交易起步,許多用戶將手機號碼當作銀行轉帳、信用卡聯繫或網拍的驗證方式。簡簡單單的姓名以及手機號碼將提供駭客無限的可能。若未使用上述APP的使用者也不要太急著放心,這三款APP的下載總數約 2 億,曝光資料卻逾30億!換句話說,即使沒有下載上述APP,也會因為親朋好友下載而淪為受害者。這次事件受害者包括政商演藝名人,較知名的有香港特首梁振英、香港政務司司長林鄭月娥、澳門博彩執行董事梁安琪、康宏金融 CEO 莊偉忠、填詞人林夕、藝人汪明荃、陳百祥等人。 繼續閱讀