PLEASE_READ_ME: um ransomware oportunista atacando servidores MySQL

PLEASE_READ_ME: um ransomware oportunista atacando servidores MySQL. Campanha está em atividade desde janeiro 2020.

Ophir Harpaz e Omri Marom publicaram ontem no blog do Guardicore Labs post sobre uma campanha de ransomware chamada PLEASE_READ_ME voltada para servidores de banco de dados MySQL e em atividade desde, pelo menos, janeiro deste ano – 2020. 

Algumas características do PLEASE_READ_ME:

A cadeia de ataque é extremamente simples e explora credenciais fracas na de acesso a Servidores MySQL voltados para a Internet. Foram violados 83 mil servidores; existem cerca de cinco milhões desses servidores em todo o mundo;

Ao todo foram roubados 250 mil bancos de dados, pois havia múltiplos bancos de dados nos servidores atingidos

Os ataques são provenientes de 11 diferentes endereços IP, na Irlanda e no Reino Unido

Na segunda fase da campanha, iniciada em outubro, a monetização da campanha se tornou uma dupla tentativa de extorsão – publicação e oferta de dados para venda, de modo a pressionar as vítimas para pagarem resgate

Indicadores de comprometimento estão disponíveis no repositório de campanhas do Guardicore Labs

Uma campanha de ransomware em evolução

primeiro ataque à Rede de Sensores Globais da Guardicore (GGSN) foi capturado em 24 de janeiro de 2020. Desde então, um total de 92 ataques foram relatados por nossos sensores, mostrando um aumento acentuado em seu número desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria dos quais da Irlanda e do Reino Unido. O que nos levou a monitorar de perto essa ameaça é o uso de extorsão dupla, em que dados roubados são publicados e colocados à venda como um meio de pressionar as vítimas a pagar o resgate.

A Guardicore Labs observou duas variantes diferentes durante o período de vida desta campanha. Na primeira, que durou de janeiro até o final de novembro, os atacantes deixaram uma nota de resgate com o endereço da carteira, o valor em Bitcoin a pagar e um endereço de e-mail para suporte técnico. 10 dias foram dados para que as vítimas realizassem o pagamento. Como as carteiras Bitcoin foram especificadas explicitamente nas notas de resgate, poderíamos explorar as carteiras e a quantidade de BTC transferida para cada uma delas. Descobrimos que um total de 1.2867640900000001 BTC foi transferido para essas carteiras, o equivalente a 24.906 USD. Os Sensores Guardicore capturaram 63 ataques desse tipo, vindos de 4 endereços IP diferentes.

A segunda fase começou no dia 3 de outubro e durou até o final de novembro, e marcou uma evolução da campanha. O pagamento não é mais feito diretamente para uma carteira Bitcoin e nenhuma comunicação por e-mail é necessária. Em vez disso, os invasores colocam um site na rede TOR onde o pagamento pode ser feito. As vítimas são identificadas por meio de tokens alfanuméricos exclusivos que recebem na nota de resgate.

O site é um bom exemplo de mecanismo de extorsão dupla – ele contém todos os bancos de dados que vazaram para os quais o resgate não foi pago. O site lista 250 mil bancos de dados diferentes de 83 mil servidores MySQL, com 7 TB de dados roubados. Até o momento, o GGSN capturou 29 incidentes dessa variante, originados de 7 endereços IP diferentes.

Esta fase marca uma evolução da campanha de várias maneiras.

  • Primeiro, o mapeamento entre a vítima e seu banco de dados roubado agora é feito automaticamente, com um token exclusivo, e não envolve a pesquisa de IPs e domínios para encontrar o banco de dados roubado.
  • Além disso, o “repositório” de todos os bancos de dados roubados é gerenciado em um único lugar e é público – as vítimas podem ver seus bancos de dados na lista e ser pressionados a pagar o resgate.
  • Por último, o site cria uma experiência mais tranquila para a vítima e ainda constrói mais confiança entre a vítima e os invasores, conforme os detalhes do banco de dados são fornecidos.

Attack Chain

O ataque começa com uma senha de força bruta no serviço MySQL. Uma vez bem-sucedido, o invasor executa uma sequência de consultas no banco de dados, reunindo dados sobre tabelas e usuários existentes. Ao final da execução, os dados da vítima desaparecem – são arquivados em um arquivo compactado que é enviado aos servidores dos invasores e, em seguida, excluído do banco de dados. Uma nota de resgate é deixada em uma tabela chamada WARNING, exigindo um pagamento de resgate de até 0,08 BTC.

INSERT INTO `WARNING` (` id`, `warning`,` website`, `token`) VALORES (1, ‘Para recuperar seus bancos de dados perdidos e evitar o vazamento: visite http://hn4wg4o6s5nc7763.onion e insira seu token exclusivo ffc7e276a3c7ef27 e pague a quantia necessária de Bitcoin para recuperá-lo. Bancos de dados que temos:. Seus bancos de dados são baixados e armazenados em nossos servidores. Se não recebermos seu pagamento nos próximos 9 dias, venderemos seu banco de dados ao maior licitante ou utilizá-los de outra forma. Para acessar este site você deve usar o navegador tor https://www.torproject.org/projects/torbrowser.html ‘,’ http://hn4wg4o6s5nc7763.onion ‘,’ ffc7e276a3c7ef27 ‘);

Além disso, um usuário de backdoor mysqlbackups ‘@’% ‘é adicionado ao banco de dados para persistência, fornecendo aos invasores acesso futuro ao servidor comprometido.

Leak Site oferece bancos de dados para compra

O domínio .onion – hn4wg4o6s5nc7763.onion – leva a um painel completo onde as vítimas podem fornecer seu token e fazer o pagamento. O domínio de nível superior .onion é usado para distinguir serviços hospedados na rede TOR. Esses sites só podem ser acessados ​​a partir do navegador TOR e garantem que seus operadores e os usuários do lado do cliente permaneçam anônimos. A escolha de usar um domínio .onion torna mais difícil rastrear os invasores e onde sua infraestrutura está hospedada.

Todos os bancos de dados roubados são colocados à venda em uma seção do site intitulada Leilão, todos com um preço uniforme de 0,03 Bitcoin. Uma tabela nesta página lista todos os bancos de dados roubados por token, junto com seus tamanhos. Ao rastrear as páginas do leilão, o Guardicore Labs encontrou quase 83 mil tokens exclusivos. Restaurar dados custará à vítima 0,03 BTC, o que equivale (no momento da escrita) a cerca de US $ 520.

Ataques de ransomware vêm em diferentes formas

Algumas campanhas de ransomware são altamente direcionadas; eles são planejados com antecedência por meses e executados na perfeição. Essas campanhas são ameaças avançadas e persistentes (APTs). Eles violam a rede, realizam movimentos laterais silenciosos e cuidadosos para infectar vários ativos, criptografar dados valiosos e exigir resgate para restauração.

Outras campanhas são de natureza oportunista. Essas campanhas são geralmente automáticas, o que significa que são executadas a partir de um script, e não por um ser humano. A coleta de inteligência ou reconhecimento não fazem parte do processo. Essa característica permite que tais campanhas sejam escalonadas significativamente e potencialmente infectem servidores importantes que estão erroneamente conectados à Internet.

Campanhas de ataque desse tipo não são direcionadas. Eles não têm interesse na identidade ou tamanho da vítima e resultam em uma escala muito maior do que a disponível para ataques direcionados. Pense nisso como “Factory Ransomware” – os invasores executam o ataque, ganhando menos dinheiro por vítima, mas calculando o número de máquinas infectadas.

PLEASE_READ_ME é um ótimo exemplo do último tipo:

  1. Ele não tem um alvo: tenta infectar qualquer um dos 5 milhões de servidores MySQL voltados para a Internet.
  2. É temporário – não passa tempo na rede além do necessário para o ataque real. Sem nenhum movimento lateral envolvido, o ataque começa e termina dentro do próprio banco de dados MySQL e não tenta escapar dele.
  3. É simples. Não há cargas binárias envolvidas na cadeia de ataque, tornando o ataque “malwareless”. Apenas um script simples que quebra no banco de dados, rouba informações e deixa uma mensagem.

Os operadores PLEASE_READ_ME estão tentando melhorar seu jogo usando extorsão dupla em escala. Fatorar sua operação tornará a campanha escalável e lucrativa. O Guardicore Labs fornece um repositório IOCs e continuará monitorando esta campanha para ajudar as organizações a se protegerem contra ela.

Fonte: Guardicore Labs

 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Prodecon investiga atos de censura em redes sociais
  2. Gmail 'hackeado': usuários do Google alertados após interrupção global
  3. Importância do aprendizado contínuo de cibersegurança e privacidade
  4. O que é microssegmentação!

Deixe sua opinião!