駭客於暗網拍賣25萬個竊取之MySQL資料庫

• 發布日期：109-12-31
• 發布單位：刑事警察大隊

參考網站：
駭客於暗網拍賣25萬個竊取之MySQL資料庫
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16490

資安業者Guardicore研究報告指出，駭客針對暴露於公開網路之MySQL資料庫發動攻擊，透過暴力破解手法駭侵MySQL資料庫，藉此進行資料庫內容竊取、加密及勒索攻擊，倘若勒索不成，便於暗網出售。
資安業者Guardicore將此次攻擊行動稱之為「PLEASE_READ_ME」，最早可追溯自2020年1月。駭客首先掃瞄曝露於公開網路之MySQL資料庫，其次透過暴力破解取得其登入資訊，待駭客成功入侵MySQL資料庫後，便會將其內容封裝為壓縮檔，傳至駭客伺服器，並刪除原資料庫內容。此外，駭客亦於資料庫中新增一個表格，並放入勒索內容，要求受害者支付約500美元之贖金，若受害者不願支付贖金，駭客便將其所竊取之資料庫轉移至位於暗網之公開拍賣網站，供外界競標。目前此一公開拍賣網站已存放來自8.5萬個MySQL伺服器，共計25萬個資料庫，數據資料容量總計7 TB。
PLEASE_READ_ME勒索行動隨著受害者數量增加而更加系統化，2020年1月至9月期間，駭客原先透過電子郵件與受害者聯繫，2020年10月，駭客則於暗網中建立一個可供付款之網站，當受害者登入該網站，並輸入勒索郵件所提及之特殊代碼，便能立即付款。
此外，資安業者Guardicore表示，駭客並未針對特定產業或對象，而是鎖定公開網路上之MySQL資料庫，目前全球估計約有近500萬個MySQL資料庫為潛在受害者。

資料來源：
https://www.guardicore.com/labs/please-read-me-opportunistic-ransomware-devastating-mysql-servers/
https://threatpost.com/please_read_me-ransomware-mysql-servers/162136/
https://www.tripwire.com/state-of-security/security-data-protection/please_read_me-ransomware-campaign-targeting-mysql-servers/