Trong những năm gần đây, các tác nhân đe dọa đã từ bỏ việc triển khai mã độc truyền thống, chuyển sang các hoạt động “living-off-the-land” nhắm vào môi trường đám mây và SaaS. Thay vì sử dụng các biến thể ransomware tùy chỉnh, nhiều nhóm tấn công hiện khai thác các dịch vụ cơ sở dữ liệu bị cấu hình sai, chỉ sử dụng các lệnh tích hợp sẵn để đánh cắp, phá hủy hoặc mã hóa dữ liệu. Phương pháp này đã làm nảy sinh mối đe dọa mới mang tên ransomware cơ sở dữ liệu không mã độc.

Nạn nhân thường phát hiện dữ liệu của mình bị thiếu hoặc không thể truy cập, chỉ còn lại các thông báo đòi tiền chuộc được lưu trữ trực tiếp trong cơ sở dữ liệu. Cách tiếp cận không mã độc này đã phát triển từ các sự cố riêng lẻ thành các chiến dịch tự động hóa cao, săn lùng các cơ sở dữ liệu bị lộ trên toàn thế giới.

Cơ Chế Hoạt Động của Ransomware Cơ Sở Dữ Liệu Không Mã Độc

Ransomware cổ điển thường yêu cầu truyền tải một payload độc hại để mã hóa các tệp trên đĩa. Ngược lại, ransomware cơ sở dữ liệu sử dụng các truy vấn thông thường như DROP, DELETE hoặc EXPORT để khiến dữ liệu không khả dụng, sau đó giữ các bản sao lưu làm con tin.

Kẻ tấn công quét Internet để tìm kiếm các cổng mở như MySQL trên 3306, PostgreSQL trên 5432, MongoDB trên 27017 và các dịch vụ khác. Sau đó, chúng thử nghiệm các thông tin đăng nhập yếu hoặc mặc định.

Khi xác thực thành công, dữ liệu sẽ được lấy ra (exfiltrate) về các máy chủ do kẻ tấn công kiểm soát. Tiếp theo, chúng xóa sạch cơ sở dữ liệu và tạo một bảng hoặc collection có tên README_TO_RECOVER hoặc RECOVER_YOUR_DATA chứa yêu cầu đòi tiền chuộc.

Vì không có bất kỳ binary lạ nào được cài đặt, các công cụ bảo mật endpoint thường không phát hiện được bất kỳ hoạt động độc hại nào. Điều này khiến cho việc nhận diện và phản ứng trở nên khó khăn hơn.

Sự Phát Triển và Mức Độ Phổ Biến của Tấn Công Cơ Sở Dữ Liệu

Các nhà nghiên cứu về mối đe dọa lần đầu tiên ghi nhận các vụ chiếm quyền điều khiển cơ sở dữ liệu quy mô lớn vào tháng 2 năm 2017, khi hàng nghìn thể hiện không được bảo vệ bị xâm phạm hàng loạt. Thông tin chi tiết có thể được tìm thấy trong nghiên cứu của Wiz về chủ đề này: Nghiên cứu Ransomware Cơ Sở Dữ Liệu.

Ngày nay, các bot chuyên biệt liên tục tìm kiếm các máy chủ mới, xâm phạm các mục tiêu mới chỉ trong vài phút sau khi bị lộ. Sự kết hợp giữa tự động hóa và việc dễ dàng khai thác các cấu hình sai đơn giản đã biến tống tiền cơ sở dữ liệu không mã độc thành một mối đe dọa dai dẳng.

Các chiến dịch gần đây đã áp dụng chiến thuật tống tiền kép, đe dọa công bố dữ liệu bị đánh cắp nếu tiền chuộc không được thanh toán, ngay cả khi việc lấy dữ liệu thực tế chưa được xác minh. Bằng cách phản ánh các chiến lược ransomware rộng hơn mà không cần triển khai payload, các tác nhân này gia tăng áp lực buộc nạn nhân phải tuân thủ.

Một điểm đáng chú ý trong tập dữ liệu là Redis, có mức độ tiếp xúc tương đối thấp (5.3% môi trường) mặc dù rất phổ biến (74% môi trường).

Leo Thang Đặc Quyền và Nguy Cơ Remote Code Execution (RCE)

Ngoài việc tống tiền dữ liệu, việc chiếm quyền kiểm soát cơ sở dữ liệu thành công có thể cho phép leo thang đặc quyền để đạt được Remote Code Execution (RCE). Khi kẻ tấn công có được quyền quản trị SQL, chúng có thể triển khai các thủ tục lưu trữ hoặc tận dụng các tính năng của máy chủ để chạy lệnh shell, dịch chuyển sang các máy chủ khác và thiết lập chỗ đứng bền vững.

Do đó, một thông báo đòi tiền chuộc trong cơ sở dữ liệu thường báo hiệu một sự xâm nhập sâu hơn, với tiềm năng di chuyển ngang và đánh cắp dữ liệu lâu dài. Điều này vượt xa rủi ro ban đầu về việc mất quyền truy cập dữ liệu.

Trong một cuộc tấn công MySQL đáng chú ý, kẻ tấn công đã đăng tải các bản sao lưu cơ sở dữ liệu của nạn nhân lên các trang đấu giá trên dark-web để ép buộc thanh toán. Các thông báo đòi tiền chuộc cảnh báo rằng việc không thanh toán sẽ dẫn đến rò rỉ dữ liệu công khai hoặc bán cho người trả giá cao nhất.

Biện Pháp Phòng Ngừa và Bảo Vệ Cơ Sở Dữ Liệu

Các biện pháp phòng ngừa bắt đầu bằng việc phân đoạn mạng. Máy chủ cơ sở dữ liệu phải nằm trên mạng riêng, được bảo vệ bởi tường lửa và các nhóm bảo mật chỉ cho phép lưu lượng truy cập từ máy chủ ứng dụng. Việc tiếp xúc trực tiếp các cổng cơ sở dữ liệu với Internet phải được loại bỏ để giảm thiểu rủi ro bảo mật.

Khi cần quản trị từ xa, quyền truy cập nên được định tuyến qua một máy chủ trung gian (jump server) được tăng cường bảo mật và bảo vệ bằng xác thực đa yếu tố (MFA), thay vì mở cổng cơ sở dữ liệu công khai.

Kiểm soát xác thực cũng quan trọng không kém. Vô hiệu hóa đăng nhập không mật khẩu, thực thi thông tin đăng nhập mạnh và duy nhất, đồng thời yêu cầu MFA cho các tài khoản quản trị.

Thường xuyên kiểm tra cấu hình để đảm bảo rằng các tên người dùng mặc định và mật khẩu yếu đã bị loại bỏ. Để giảm thiểu tổn thất dữ liệu tiềm ẩn, hãy triển khai các chiến lược sao lưu mạnh mẽ: lên lịch sao lưu thường xuyên, xác thực khả năng phục hồi và lưu trữ các bản sao lưu ở các vị trí riêng biệt, được kiểm soát truy cập.

Phát Hiện Xâm Nhập và Theo Dõi IOCs

Phát hiện ransomware cơ sở dữ liệu liên quan đến việc giám sát liên tục các Indicators of Compromise (IOCs). Các bản quét tự động nên gắn cờ các bảng hoặc collection mới được tạo có tên gợi ý các thông báo đòi tiền chuộc.

Các hoạt động DELETE hoặc DROP hàng loạt bất thường, đặc biệt là ngoài các cửa sổ bảo trì thông thường, cần được điều tra ngay lập tức. Việc lập bản đồ bề mặt tấn công chủ động có thể tiết lộ các điểm phơi nhiễm không mong muốn trước khi kẻ tấn công kịp tấn công.

Các công cụ quét động liên tục đánh giá tình hình bảo mật, trong khi các quy tắc phát hiện IOC cảnh báo về các dấu hiệu đòi tiền chuộc đáng ngờ. Bằng cách kết hợp phòng ngừa với phát hiện cảnh giác, các tổ chức có thể ngăn chặn các chiến dịch tống tiền không mã độc và bảo vệ các tài sản dữ liệu quan trọng, tránh các cuộc tấn công cơ sở dữ liệu quy mô lớn.