도난당한 MySQL 데이터베이스 25만 개, 다크웹에 판매돼

250,000 stolen MySQL databases for sale on dark web auction site

 

해커들이 해킹된 MySQL 서버 수만 대에서 훔친 25만 데이터베이스를 판매하기 위해 다크웹에 경매 사이트를 만들었습니다.

 

수집된 데이터의 전체 크기는 7TB이며, 이는 지난 10월 이후 급증한 데이터베이스 랜섬 사업의 일부입니다.

 

데이터베이스 랜섬 공격 급증

 

지난 5월, Bleeping Computer는 공격자들이 온라인 스토어의 SQL 데이터베이스를 훔치고 피해자가 0.06 비트코인을 지불하지 않을 경우 데이터를 공개하겠다고 협박하는 캠페인에 대해 보도했습니다.

 

일반 웹상의 해커의 웹사이트에는 데이터베이스가 31개만 등록되어 있지만, 랜섬노트에 기재된 지갑에 대한 악용 신고 횟수가 200이 넘은 것으로 보아 이 작전은 훨씬 규모가 큰 것으로 추측됩니다.

 

Guardicore의 연구원들은 1년 동안 이 작전을 모니터링 했으며, 10월 3일 이후로 활동이 급증한 것을 발견했습니다.

 

공격자는 일반 웹에서 다크웹으로 이동했으며, 경매 사이트를 생성해 공개 웹에 노출되어 있던 서버 3.3만 대에서 훔친 데이터베이스 25만 건을 게시했습니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/250-000-stolen-mysql-databases-for-sale-on-dark-web-auction-site/>

 

 

해당 MySQL 데이터베이스는 20 바이트~기가바이트 사이로 판매되며, 0.03 비트코인에 판매됩니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/250-000-stolen-mysql-databases-for-sale-on-dark-web-auction-site/>

 

 

Bleeping Computer는 경매에 붙여진 데이터베이스의 이름과 크기로 미루어볼 때, 이 공격이 자동화된 공격이라 추측했습니다.

 

공격자는 대규모 데이터베이스만 판매하고 있는 것이 아니라, 데이터 20바이트만 포함한 테스트 및 기본 데이터베이스도 판매하고 있기 때문입니다.

 

Guardicore는 금일 발표한 보고서에서 해당 데이터가 타깃을 정하지 않은 데이터에 접근하기 위해 브루트포싱하는 자동화된 공격을 통해 수집된 것을 확인했다고 밝혔습니다.

 

공격자가 MySQL 서버 해킹에 성공하면 이들은 데이터베이스를 공격자의 인프라로 아카이브 및 복제한 후 피해자의 서버에서 삭제하고 랜섬노트를 생성하는 등 다양한 명령을 실행합니다.

 

해당 랜섬노트는 단일 기록을 포함하는 새로운 데이터 테이블인 ‘warning’에 생성됩니다.

 

 

<이미지 출처: https://www.guardicore.com/labs/please-read-me-opportunistic-ransomware-devastating-mysql-servers/>

 

 

해당 기록에는 피해자를 위한 지침이 포함되어 있으며 Tor 사이트로 이동해 개인 페이지에 접근할 수 있는 고유 토큰을 제공합니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/250-000-stolen-mysql-databases-for-sale-on-dark-web-auction-site/>

 

 

Guardicore에 따르면 공격자는 백도어 사용자(mysqlbackups’@’%’)를 생성해 지속성을 얻습니다. 이로써 추후 해당 서버를 또 다시 해킹할 수 있게 됩니다.

 

연구원들은 이 이중 갈취 캠페인을 공격 작전의 진화를 보여주는 두 단계로 구분했습니다.

 

첫 번째는 피해자가 돈을 보내고 데이터베이스를 돌려받을 수 있는 공격자의 비트코인 지갑 주소가 포함된 랜섬노트입니다.

 

Gurdicore는 IP 4개에서 이루어진 이러한 공격 유형을 63건 발견했습니다.

 

해당 경매 사이트는 2단계 캠페인의 일부로 REvil, NEtwalker, MountLocker 등 랜섬웨어 비즈니스의 추세를 따릅니다.

 

Guardicore 측은 이 작전이 진화한 것이 초기 공격자의 작업이 아닐 수 있다고 밝혔습니다.

 

유출 사이트 이외의 또 다른 단서는 Guardicore의 모니터링 시스템이 2 단계에 각각 다른 IP 주소 세트를 기록했다는 점입니다.

 

현재 전 세계에서 공개 인터넷에서 접근이 가능한 MySQL 서버는 약 5백만대로 집계됩니다.

 

이와 같은 자동화된 공격은 해킹을 시도하기 위해 지속적으로 새로운 표적을 찾고 있습니다.

 

이는 흔한 크리덴셜을 테스트하는 방식으로 수행되기 때문에, 관리자는 중요한 데이터가 있는 데이터베이스에 강력한 고유 비밀번호를 설정해 두는 것이 좋습니다.

 

관리자는 가능할 경우 데이터베이스 노출을 피하거나, 최소한 안전한 비 공용 연결을 통해 데이터베이스에 접근하도록 하고 네트워크에 대한 가시성을 확보해 이러한 방어 장치를 보완하는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/250-000-stolen-mysql-databases-for-sale-on-dark-web-auction-site/

https://www.guardicore.com/labs/please-read-me-opportunistic-ransomware-devastating-mysql-servers/