Gli specialisti della sicurezza delle informazioni riferiscono che più di 85.000 database SQL sono stati messi in vendita su un forum nel dark web in cambio di 550 USD ciascuno. Apparentemente questo portale illegale fa parte di un complesso schema di furto e vendita di informazioni riservate compromesse come prodotto di altri incidenti.
I database sono diventati uno degli obiettivi principali degli hacker malintenzionati, che hanno escogitato metodi per compromettere facilmente queste risorse al fine di minacciare i proprietari di eliminare tutte le informazioni se le loro richieste non venissero soddisfatte.
Sebbene le note di riscatto iniziali menzionavano che le vittime dovevano contattare i criminali via e-mail, alla fine gli operatori di questo schema dannoso hanno automatizzato le loro operazioni e hanno creato un portale dark web per condurre le loro trattative con le vittime.
Nello screenshot seguente possiamo vedere come prima di accedere al sito web alle vittime viene chiesto di inserire un identificatore univoco trovato nella richiesta di riscatto.
Se le vittime non pagano il riscatto entro nove giorni dall’incidente, i loro dati vengono messi all’asta in un’altra sezione del portale.
Tutti i pagamenti sulla piattaforma devono essere effettuati tramite bonifici Bitcoin. Convertito in dollari, questo prezzo è di circa 500 dollari USD.
Dopo aver analizzato il sito Web, gli specialisti hanno concluso che i loro processi sono completamente automatizzati, quindi gli autori delle minacce non eseguono ulteriori analisi dei database compromessi alla ricerca di informazioni utili. La comunità della sicurezza informatica ha identificato completamente tutti gli incidenti collegati a questo gruppo di hacker, poiché vengono utilizzati per inserire le proprie affermazioni in tabelle SQL intitolate “AVVISO”.
Apparentemente la maggior parte dei database compromessi appartiene ai server MySQL; sebbene gli esperti non escludano che altri sistemi di database (come PostrgeSQL o MSSQL) possano essere stati compromessi.
D’altra parte, nel corso del 2020 sono stati rilevati campioni di questi attacchi, con richieste di riscatto apparse sui forum Reddit, MySQL, piattaforme di supporto e tutti i tipi di blog personali e aziendali.
