Een nieuwe golf van aanvallen combineert ransomware met diefstal. Aanvallers gijzelen databases van slachtoffers en als die niet tijdig betalen, verkopen ze de gegevens online.
Momenteel staan er meer dan 85.000 MySQL-databeses online te koop op het dark web voor een gemiddelde prijs van amper 550 dollar per database. Dat ontdekte ZDNet na een tip van een beveiligingsonderzoeker. De uitverkoop is het resultaat van een malwarecampagne die al sinds het begin van dit jaar aan de gang is.
Aanvallers hebben het gemunt op MySQL-databases. Waar ze kunnen downloaden ze de data en verwijderen ze de originele bestanden. In de plaats daarvan krijgen beheerders een digitale losgeldbrief te zien. De aanval verschilt van klassieke ransomwarecampagnes omdat de data niet versleutelt maar effectief gestolen worden.
Webshop
Aanvankelijk leek de campagne gebaseerd op manueel werk. Slachtoffers moesten de criminelen immers per mail contacteren. Intussen hebben de aanvallers echter een heus webportaal opgezet. Via dat portaal kunnen getroffen beheerders nakijken of er een kopie van hun data beschikbaar is. Binnen de negen dagen moeten ze losgeld betalen, waarna ze de database kunnen downloaden.
Verstrijkt die deadline, dan gaat de database naar de hoogte bieder. Het portaal biedt een webwinkel waar andere criminelen de gegevens kunnen kopen. Het geheel ziet er allemaal heel netjes uit. Betalen gebeurt naar goede gewoonte met bitcoins. De gestroomlijnde aanpak lijkt aan te tonen dat de malwarecampagne intussen volledig automatisch verloopt.
Back-ups
Enerzijds is de aanval vervelender dan klassieke ransomware omdat de kans groter is dat gegevens bij het grote publiek terecht komen. Anderzijds is de campagne minder gevaarlijk in situaties waarin organisaties een goede back-up hebben. Omdat er geen versleuteling plaatsvindt, loop je immers niet het risico dat de back-up mee versleuteld raakt.
Het lijkt er op dat de aanvallers niet noodzakelijk complexe lekken uitbuiten. De slachtoffers zijn veeleer gebruikers die hun database onvoldoende beveiligden, waardoor de aanvallers eenvoudig toegang kregen.