国家计算机病毒应急处理中心通过对互联网的监测,发现名为“PLEASE_READ_ME”的勒索软件攻击活动针对MySQL进行攻击。攻击者使用了双重勒索的形式,受害者需支付赎金才能获取数据,否则攻击者将出售窃取到的数据。目前攻击者正在出售约25万个数据库,涉及约83000个MySQL数据库服务器。 “PLEASE_READ_ME”勒索软件攻击活动最早开始于2020年1月,目前发现已发生92次攻击。攻击者采用暴力破解面向互联网开放服务的MySQL数据库密码的方式进入数据库,然后进行查询操作,再将查询到所有表和用户数据存放在压缩文件中回传到攻击者的服务器并将原始数据删除,最后在数据库中留下后门以实现持久性攻击并留下名为“WARNING”的勒索信。受害者需要在10天内向指定的比特币钱包支付赎金(最高0.08比特币,约合1400美元)才能获取数据,否则攻击者将出售这些数据。拒绝支付赎金的受害者数据将会在该网站的拍卖功能中出售,统一售价为0.03个比特币。该网站目前包含来自83000个MySQL数据库服务器的25万个数据库,约7TB被盗数据。攻击者在“PLEASE_READ_ME”活动中使用了11个IP地址,其中大多数来自爱尔兰和英国。 分析人员称,“PLEASE_READ_ME”活动对攻击目标的选择是不具有针对性的,因此目前全球约有500万个面向互联网的MySQL数据库服务器,都有可能成为其攻击目标。建议我国MySQL数据库用户采取以下措施予以防范,一是使用高强度密码并定期更换;二是不在可连接互联网的数据库中存储重要数据,尤其是明文数据;三是定期对重要文件进行非本地备份。
