Автономная комьютерная программ (бот) регулярно взламывает плохо защищенные базы данных в течение нескольких часов после их публикации в Интернет. Проведены эксперименты, в ходе которых запускался сервер PostgreSQL на виртуальной машине, с использованием слабых учетных данных (user: postgres, password: pa$$word). Вредоносная программа успешно компрометировала базу данных на включенном сервере.
Разбирательство началось после того, как программист Амос Венгер написал в X о том, что за его базу данных, немедленно потребовали выкуп после случайного раскрытия их сервера Postgresql.
Бот сканирует Интернет в поисках серверов PostgreSQL и MySQL для принудительного взлома и проверки баз данных. Оказавшись внутри, определяет количество доступных таблиц и делает снимок базы данных, прежде чем все таблицы и базы данных будут удалены с помощью команд DROP TABLE и DROP DATABASE. Программа злоумышленников также завершает все внутренние процессы, подключенные к базе данных, отличной от его целевой, чтобы администраторы не смогли прервать атаку. После нанесения ущерба остается записка с требованием выкупа, в которой жертвам предписывается заплатить, чтобы восстановить доступ к своим данным.
Записка с требованием выкупа начинается словами: «Все ваши данные скопированы», что, как обнаружили исследователи, является ложью. Анализ запросов бота показал, что при «резервном копировании» данных перед удалением всех таблиц были сохранены только первые 20 строк для каждой таблицы, а это означает, что жертвы, которые заплатят выкуп, получат лишь остатки от своих первоначальных данных.
IP-адрес, с которого идет атака, принадлежит голландскому хостинг-провайдеру Limenet. Включение российского домена в уведомление о выкупе предполагает, что злоумышленники пытаются скрыть свое истинное местоположение. Таким образом, при публикации баз данных в Интернет, использование надежного пароля для ее защиты имеет первостепенное значение.