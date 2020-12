Mehr als 85.000 SQL-Datenbanken werden derzeit in einem Dark-Web-Portal zum Kauf angeboten. Die Hacker verlangen lediglich rund 500 Dollar pro Datenbank. Zuvor wurden die Datenbanken von Cyberkriminellen gestohlen und den Besitzern die Rückgabe nur gegen Zahlung eines Lösegelds angeboten.

Die unbekannten Täter kopierten nach einem Einbruch in die Systeme ihrer Opfer SQL-Datenbanken auf eigene Server, um Originale anschließend zu löschen und e8ine Lösegeldforderung zu hinterlassen. Ursprünglich forderten sie zu einer Kontaktaufnahme per E-Mail auf, später automatisierten sie den Vorgang mit einem Web-Portal. Das wiederum war anfänglich öffentlich zugänglich und wurde dann später auf eine Onion-Adresse im Dark Web umgezogen.

Opfer, die dieses Portal besuchen, müssen eine eindeutige ID eingeben, die sich im Erpresserschreiben findet. Anschließend können sie ihre Daten zurückkaufen. Die Hacker räumen diese Möglichkeit allerdings für einen Zeitraum von neun Tagen ein. Danach wandert die Datenbank in den Auktionsbereich des Portals.

Der Preis für den Rückkauf oder Kauf einer Datenbank muss in Bitcoin bezahlt werden und wurde von den Hintermänner in den vergangenen Monaten mehrfach an den Bitcoin-Kurs angepasst – in Dollar umgerechnet lag er stets im Bereich von 500 Dollar. Der Inhalt einer Datenbank hat keinen Einfluss auf den Preis.

Das lässt die Vermutung zu, dass die Angriffe zumeist automatisiert erfolgen und die Cyberkriminellen den Inhalt der Datenbanken nicht prüfen. Ein Angriff ist zudem meist an einer SQL-Tabelle namens „Warnung“ zu erkennen, die die Lösegeldforderung erhält. Zudem scheinen die Hacker in erster Linie MySQL-Datenbanken ins Visier zu nehmen, es ist aber nicht ausgeschlossen, dass sie auch Datenbanken anderer Systeme wie PostgreSQL oder Microsoft SQL erbeutet haben.

Die Angriffe sind offenbar die bisher größte Kampagne, SQL-Datenbanken für Erpressungsversuche zu benutzen. Im Winter 2017 gingen Hacker organisiert gegen MySQL-Server wie MongoDB-, Elasticsearch-, Hadoop-, Cassandra- und CoucDB-Server vor.