I ricercatori di Guardicore Labs hanno scoperto una campagna ransomware attiva dal 2020 che utilizza una catena di attacchi estremamente semplice e sfrutta credenziali deboli sui server MySQL con connessione a Internet. La campagna è stata denominata PLEASE_READ_ME.
Il primo attacco a Guardicore Global Sensors Network (GGSN) è stato registrato il 24 gennaio 2020. Da allora, i sensori hanno segnalato un totale di 92 attacchi, mostrando un forte aumento da ottobre. Gli attacchi provengono da 11 diversi indirizzi IP, la maggior parte dei quali da Irlanda e Regno Unito. Ciò che ci ha spinto i ricercatori a monitorare questa minaccia è il suo uso della doppia estorsione in cui i dati rubati vengono pubblicati e offerti in vendita come mezzo per indurre le vittime a pagare il riscatto.
La seconda fase è iniziata il 3 ottobre ed è durata fino alla fine di novembre segnando un’evoluzione della campagna. Il pagamento, infatti, non viene più effettuato direttamente su un portafoglio Bitcoin e non sono necessarie comunicazioni e-mail, bensì tramite un sito Web nella rete TOR creato appositamente dagli aggressori. Le vittime vengono identificate utilizzando token alfanumerici univoci che ricevono nella richiesta di riscatto.
La catena di attacco inizia con un attacco brute-force di password sul servizio MySQL. Una volta riuscito, l’attaccante esegue una sequenza di query nel database, raccogliendo dati su tabelle e utenti esistenti. Alla fine dell’esecuzione, i dati della vittima sono spariti e vengono archiviati in un file zippato che viene inviato ai server degli attaccanti e quindi eliminato dal database. Una richiesta di riscatto viene lasciata in una tabella denominata WARNING, chiedendo un pagamento di riscatto fino a 0,08 BTC.
I database rubati vengono offerti in vendita in una sezione del sito web intitolata Auction, tutti con un prezzo uniforme di 0.03 Bitcoin. Una tabella presente nella pagina elenca tutti i database rubati per token con le loro dimensioni.
Eseguendo la scansione delle pagine delle aste, Guardicore Labs ha trovato quasi 83.000 token unici. Il ripristino dei dati costerà alla vittima 0,03 BTC, che equivale (al momento della scrittura) a circa $ 520.
Gli operatori PLEASE_READ_ME stanno cercando di migliorare il loro gioco usando la doppia estorsione in scala. Il factoring della loro operazione renderà la campagna più scalabile e redditizia. Guardicore Labs fornisce un repository di IOC e continuerà a monitorare questa campagna per aiutare le organizzazioni a proteggersi, si legge nella comunicazione dei ricercatori.
https://www.guardicore.com/labs/please-read-me-opportunistic-ransomware-devastating-mysql-servers/