Hacker estorce negozi online, vende database se il riscatto non viene pagato
25 Maggio 2020 - Tempo di lettura: 13 minuti
Più di due dozzine di database SQL rubati da negozi online in vari paesi vengono offerti in vendita su un sito Web pubblico. In totale, il venditore fornisce oltre 1,5 milioni di righe di record ma la quantità di dati rubati è molto più grande.
L'aggressore sta hackerando server non sicuri che sono raggiungibili sul web pubblico, copia i database e lascia una nota che chiede un riscatto in cambio dei dati rubati.
Fare soldi
Le vittime hanno 10 giorni per pagare BTC 0,06 ($ 525 al prezzo attuale) un wallet viene fornito nella nota di riscatto, altrimenti l'hacker rende pubblico il database o lo usa a proprio piacimento.
Un paio di portafogli utilizzati dall'aggressore hanno registrato oltre 100 transazioni ricevute per un totale combinato di 5,8 BTC (attualmente vale poco più di $ 51.000).
Il numero di segnalazioni di abuso per questi due portafogli è superiore a 200, il più vecchio è del 20 settembre 2019. Il più recente è del 20 maggio e questo mese da solo ci sono stati nove rapporti, a indicare che l'attore è molto attivo.
È importante notare che l'hacker può usare più portafogli di quelli che abbiamo trovato. Inoltre, il numero di segnalazioni di abuso per gli indirizzi bitcoin utilizzati dall'hacker non è indicativo della piena attività dell'operazione. Non tutte le vittime denunciano l'attaccante e alcuni decidono di pagare il riscatto.
Piattaforme di e-commerce mirate
Ci sono 31 database elencati sul sito Web, anche se a giudicare dal numero di segnalazioni di abuso, questa è chiaramente solo una piccola parte. Il più recente è di marzo e tutti hanno un campione allegato che i potenziali acquirenti possono controllare.
Altri due database non sono elencati, uno pubblicizzato ad aprile su un forum di hacker e un altro memorizzato nella directory "/samples" del sito Web.
Più della metà dei database elencati provengono da negozi online in Germania; altri provengono da Brasile, Stati Uniti, Italia, India, Spagna e Bielorussia. Tutte le piattaforme di e-commerce come Shopware, JTL-Shop, PrestaShop, OpenCart, Magento v1 e v2).
Il numero totale di righe disponibili in questi database è di circa 1.620.000. A seconda del negozio, i dati contengono indirizzi e-mail, nomi, password con hash (ad es. Bcrypt, MD5), indirizzi postali, sesso, date di nascita.
Alcune banche dati hanno una data di scarico dal 2016, ma il sito sembra essere stato popolato a partire dal 28 marzo 2020.
Questo tipo di attacco ricorda gli attacchi di riscatto di MongoDB che hanno raggiunto il picco nel 2017 e sono proseguiti fino al 2019.
Il ricercatore di Guardicore Ophir Harpaz ha individuato all'inizio dell'anno una campagna di ransomware destinata ai server MySQL. Gli intrusi sono costretti a entrare brutalmente nel server e così facendo, hanno crittografato i database; quindi hanno creato una tabella "Avvertenza" per inserire la loro richiesta di riscatto. Sono stati rilevati circa 50 attacchi.
I database sono ancora attraenti per i criminali informatici. Pur avendo un basso valore finanziario rispetto ad altri tipi di estorsione, i truffatori possono aumentare i loro profitti vendendo i dati a più parti, inclusa la vittima.
