|
다크웹 경매 사이트에 판매하기 위해 25만개의 MySQL 데이터 도난 침해사고분석팀 2020.12.11 |
|
|
수만 대의 MySQL 서버로부터 탈취한 25만개의 데이터를 팔기 위해 해커들이 다크웹에 경매 사이트를 개설했다.
전체 수집량은 7TB 규모로 10월 이후 급증세를 보인 DB 랜섬 사업의 일환이다.
해커의 홈페이지에는 31개의 데이터베이스만 나열돼 있었지만, 랜섬 메모에 남겨진 지갑에 대한 신고 건수는 200건을 넘어 훨씬 큰 피해가 있었음을 알 수 있다.
공격자가 개설한 경매 사이트에서 판매되는 MySQL 데이터의 크기는 최소 20Byte에서 GB단위에 이르며, 이러한 데이터가 0.03 비트코인으로 거래된다.
[그림 1. 다크웹에서 판매되는 DB 정보 1]
[그림 2. 다크웹에서 판매되는 DB 정보 2]
경매에 올라간 DB의 이름과 크기를 살펴봤을 때 이러한 DB를 얻기 위한 공격은 자동화된 공격으로 추측된다.
Guardicore에서 발간한 보고서에 따르면, 데이터가 무차별적이고 자동화된 공격에서 비롯되었음을 확인했으며, 위협 행위자가 MySQL 서버를 해킹하면 공격자의 인프라에 DB를 복사하는 다양한 명령을 실행한 후, 피해 서버에서 DB를 삭제하고 랜섬 노트를 생성한다.
[그림 3. 피해 서버에 생성되는 랜섬노트]
뿐만 아니라 피해 DB서버에 백도어 사용자 계정을 만들어 지속성을 확립하기 때문에 나중에 서버를 다시 손상시킬 가능성 또한 존재한다.
전세계에는 약 500만대의 MySQL 서버가 있기 때문에, 이와 같은 자동화된 공격에 끊임없는 피해를 받고 있다.
따라서 관리자는 중요한 데이터가 있는 DB에 대해 강력하고 고유한 암호를 설정하는 것이 필수적이다.
출처 |
