PLEASE_READ_ME Ransomware tấn công 85 nghìn máy chủ MySQL

Một chiến dịch ransomware đang hoạt động nhắm vào các máy chủ cơ sở dữ liệu MySQL đang được các nhà nghiên cứu cảnh báo. Phần mềm tống tiền có tên là PLEASE_READ_ME, cho đến nay đã xâm nhập ít nhất 85.000 máy chủ trên toàn cầu và đăng ít nhất 250.000 cơ sở dữ liệu bị đánh cắp trên một trang web để bán

Cuộc tấn công nhắm vào MySQL, một hệ thống quản lý cơ sở dữ liệu quan hệ nguồn mở, có thể truy cập qua internet và có tổng cộng gần 5 triệu máy chủ. Các nhà nghiên cứu báo cáo rằng kể từ lần đầu tiên họ nhận thấy chiến dịch ransomware vào tháng 1, những kẻ tấn công đã thay đổi chiến thuật để tăng áp lực lên nạn nhân và tự động hóa quy trình thanh toán tiền chuộc.

Bấm để đăng ký

Ophir Harpaz và Omri Marom, các nhà nghiên cứu của Guardicore Labs, đã viết trong một bài đăng vào thứ Năm, "Cuộc tấn công bắt đầu bằng một mật khẩu brute-force trên dịch vụ MySQL. Sau khi thành công, kẻ tấn công chạy một loạt truy vấn trong cơ sở dữ liệu, thu thập dữ liệu trên các bảng và người dùng hiện có. Khi quá trình thực thi hoàn tất, dữ liệu của nạn nhân đã bị xóa khỏi cơ sở dữ liệu sau khi được lưu trữ trong tệp nén và gửi đến máy chủ của kẻ tấn công

Từ đó, kẻ tấn công đặt ghi chú đòi tiền chuộc "CẢNH BÁO" vào bảng và yêu cầu số tiền chuộc lên tới 0. 08 BTC. "Cơ sở dữ liệu của bạn được tải xuống và sao lưu trên máy chủ của chúng tôi. Nếu chúng tôi không nhận được khoản thanh toán của bạn trong 9 ngày tới, chúng tôi sẽ bán cơ sở dữ liệu của bạn cho người trả giá cao nhất hoặc sử dụng chúng theo cách khác", thông báo đòi tiền chuộc cảnh báo nạn nhân (nguyên văn). ”

Theo các nhà nghiên cứu, thủ phạm của vụ tấn công này đã kiếm được ít nhất 25.000 đô la trong 10 tháng đầu năm nay

Các nhà nghiên cứu lưu ý rằng PLEASE_READ_ME là minh họa cho một cuộc tấn công ransomware tạm thời, không có mục tiêu, không tốn nhiều thời gian trong mạng ngoài việc tập trung vào những gì cần thiết cho cuộc tấn công thực tế. PLEASE_READ_ME được đặt tên như vậy vì đó là tên của cơ sở dữ liệu mà kẻ tấn công tạo trên máy chủ bị xâm nhập

Vì không có bất kỳ tải trọng nhị phân nào trong chuỗi tấn công nên cuộc tấn công hầu như không có phần mềm độc hại, nhưng các nhà nghiên cứu cảnh báo rằng điều này cũng gây nguy hiểm. Chỉ một tập lệnh đơn giản xâm phạm cơ sở dữ liệu, đánh cắp dữ liệu và để lại tin nhắn mới làm được

Theo các nhà nghiên cứu, do đó, một người dùng cửa hậu có tên mysqlbackups'@'% được thêm vào cơ sở dữ liệu để tồn tại lâu dài, cho phép kẻ tấn công truy cập vào máy chủ bị xâm nhập trong tương lai

tiến hóa tấn công

"Giai đoạn đầu tiên" của cuộc tấn công PLEASE_READ_ME, yêu cầu nạn nhân chuyển BTC trực tiếp vào ví của kẻ tấn công, lần đầu tiên được các nhà nghiên cứu quan sát vào tháng 1

Dòng thời gian tấn công. Phòng thí nghiệm Guardicore

Các nhà nghiên cứu cho biết, trong giai đoạn thứ hai, cuộc tấn công đã phát triển thành một nỗ lực tống tiền kép, nghĩa là những kẻ tấn công đang công bố dữ liệu trong khi gây áp lực buộc nạn nhân phải trả tiền chuộc. Giai đoạn thứ hai của chiến dịch ransomware bắt đầu vào tháng 10, các nhà nghiên cứu cho biết giai đoạn này đã đánh dấu một sự phát triển trong kỹ thuật, chiến thuật và quy trình của chiến dịch (TTP). Các nhà nghiên cứu cho biết nạn nhân trả tiền chuộc có thể được xác định bằng cách sử dụng mã thông báo (trái ngược với IP/miền của họ) thay vì địa chỉ IP hoặc tên miền của họ

Theo các nhà nghiên cứu, trang web liệt kê 250.000 cơ sở dữ liệu khác nhau từ 83.000 máy chủ MySQL, với 7 TB dữ liệu bị đánh cắp và là một ví dụ điển hình về cơ chế tống tiền kép. 29 sự cố của biến thể này cho đến nay đã được ghi lại bởi [us], đến từ bảy địa chỉ IP khác nhau

Bệnh viện, trường học và các tổ chức khác tiếp tục là mục tiêu tấn công của mã độc tống tiền trong năm 2020. Chiến thuật ransomware "tống tiền kép" lần đầu tiên được sử dụng bởi những người điều hành Maze vào cuối năm 2019 nhưng sau đó đã nhanh chóng được nhiều tội phạm mạng áp dụng sau các dòng ransomware Clop, DoppelPaymer và Sodinokibi

Các nhà khai thác PLEASE_READ_ME đang cố gắng nâng cấp trò chơi của họ bằng cách sử dụng tống tiền kép trên quy mô lớn, các nhà nghiên cứu cảnh báo. Họ nói: “Việc tính toán hoạt động của họ sẽ giúp chiến dịch có khả năng mở rộng và sinh lãi cao hơn”.

Đặt Ransomware trên Run và đặt chỗ của bạn cho hội thảo trực tuyến MIỄN PHÍ của Threatpost "Điều gì tiếp theo cho Ransomware" vào ngày 16 tháng 12 lúc 2 giờ chiều. gặp. Khám phá những gì mong đợi từ ransomware và cách tự bảo vệ mình.  

Nhận thông tin mới nhất từ ​​Nhà phân tích tình báo mối đe dọa mạng tại Digital Shadows John (Austin) Merritt, người sẽ thảo luận về các tác nhân đe dọa mã độc tống tiền nguy hiểm nhất, TTP thay đổi của chúng và tổ chức của bạn nên làm gì để chuẩn bị cho cuộc tấn công mã độc tống tiền tiếp theo không thể tránh khỏi. Đăng ký thứ Tư, tháng 12 tại đây. trong hội thảo trên web TRỰC TIẾP này, 16

Các tác nhân ransomware đứng sau cuộc tấn công đã vi phạm ít nhất 85.000 máy chủ MySQL và hiện đang bán ít nhất 250.000 cơ sở dữ liệu bị xâm phạm

Các nhà nghiên cứu đang cảnh báo về một chiến dịch ransomware đang hoạt động nhắm mục tiêu vào các máy chủ cơ sở dữ liệu MySQL. Phần mềm tống tiền, được gọi là PLEASE_READ_ME, cho đến nay đã xâm phạm ít nhất 85.000 máy chủ trên toàn thế giới – và đã đăng ít nhất 250.000 cơ sở dữ liệu bị đánh cắp trên một trang web để bán

MySQL là một hệ thống quản lý cơ sở dữ liệu quan hệ mã nguồn mở. Cuộc tấn công khai thác thông tin đăng nhập yếu trên các máy chủ MySQL kết nối internet, trong đó có gần 5 triệu máy chủ trên toàn thế giới. Kể từ lần đầu tiên quan sát chiến dịch ransomware vào tháng 1, các nhà nghiên cứu cho biết những kẻ tấn công đã thay đổi kỹ thuật của chúng để gây áp lực nhiều hơn cho nạn nhân và tự động hóa quy trình thanh toán tiền chuộc.

Bấm để đăng ký

“Cuộc tấn công bắt đầu bằng một mật khẩu brute-force trên dịch vụ MySQL. Sau khi thành công, kẻ tấn công chạy một chuỗi truy vấn trong cơ sở dữ liệu, thu thập dữ liệu trên các bảng và người dùng hiện có,” Ophir Harpaz và Omri Marom, các nhà nghiên cứu của Guardicore Labs, cho biết trong một bài đăng hôm thứ Năm. “Khi kết thúc quá trình thực thi, dữ liệu của nạn nhân sẽ biến mất – nó được lưu trữ trong một tệp nén được gửi đến máy chủ của những kẻ tấn công và sau đó bị xóa khỏi cơ sở dữ liệu. ”

Từ đó, kẻ tấn công để lại một ghi chú đòi tiền chuộc trong một bảng, có tên là “CẢNH BÁO”, yêu cầu thanh toán tiền chuộc lên tới 0. 08 BTC. Thông báo đòi tiền chuộc cho nạn nhân biết (nguyên văn), “Cơ sở dữ liệu của bạn đã được tải xuống và sao lưu trên máy chủ của chúng tôi. Nếu chúng tôi không nhận được khoản thanh toán của bạn trong 9 ngày tới, chúng tôi sẽ bán cơ sở dữ liệu của bạn cho người trả giá cao nhất hoặc sử dụng chúng theo cách khác. ”

Các nhà nghiên cứu tin rằng những kẻ tấn công đằng sau chiến dịch này đã kiếm được ít nhất 25.000 đô la trong 10 tháng đầu năm

Các nhà nghiên cứu cho biết PLEASE_READ_ME (được gọi như vậy vì đó là tên của cơ sở dữ liệu mà kẻ tấn công tạo trên máy chủ bị xâm nhập) là một ví dụ về cuộc tấn công ransomware tạm thời, không có mục tiêu, không dành thời gian trong mạng ngoài việc nhắm mục tiêu những gì cần thiết cho cuộc tấn công thực tế

Các nhà nghiên cứu cảnh báo, cuộc tấn công có thể đơn giản nhưng cũng nguy hiểm vì nó gần như không có tệp. Họ nói: “Không có tải trọng nhị phân nào liên quan đến chuỗi tấn công, khiến cuộc tấn công trở nên ‘không có phần mềm độc hại’”. “Chỉ một tập lệnh đơn giản phá vỡ cơ sở dữ liệu, đánh cắp thông tin và để lại tin nhắn. ”

Điều đó nói rằng, một người dùng cửa hậu mysqlbackups’@’%’ được thêm vào cơ sở dữ liệu để duy trì sự bền bỉ, cung cấp cho những kẻ tấn công quyền truy cập trong tương lai vào máy chủ bị xâm nhập, các nhà nghiên cứu cho biết

tiến hóa tấn công

Các nhà nghiên cứu lần đầu tiên quan sát thấy các cuộc tấn công PLEASE_READ_ME vào tháng 1, trong cái mà họ gọi là “giai đoạn đầu tiên” của cuộc tấn công. Trong giai đoạn đầu tiên này, nạn nhân được yêu cầu chuyển BTC trực tiếp vào ví của kẻ tấn công

Dòng thời gian tấn công. Tín dụng. Phòng thí nghiệm Guardicore

Giai đoạn thứ hai của chiến dịch ransomware bắt đầu vào tháng 10, mà các nhà nghiên cứu cho biết đã đánh dấu một sự phát triển trong các kỹ thuật, chiến thuật và quy trình của chiến dịch (TTP). Các nhà nghiên cứu cho biết trong giai đoạn thứ hai, cuộc tấn công đã phát triển thành một nỗ lực tống tiền kép – có nghĩa là những kẻ tấn công đang công bố dữ liệu trong khi gây áp lực buộc nạn nhân phải trả tiền chuộc. Tại đây, những kẻ tấn công đưa lên một trang web trong mạng TOR nơi có thể thực hiện thanh toán. Các nạn nhân trả tiền chuộc có thể được xác định bằng cách sử dụng mã thông báo (trái ngược với IP/tên miền của họ), các nhà nghiên cứu cho biết

Các nhà nghiên cứu cho biết: “Trang web này là một ví dụ điển hình về cơ chế tống tiền kép – nó chứa tất cả các cơ sở dữ liệu bị rò rỉ mà tiền chuộc không được trả”. “Trang web liệt kê 250.000 cơ sở dữ liệu khác nhau từ 83.000 máy chủ MySQL, với 7 TB dữ liệu bị đánh cắp. Cho đến nay, [chúng tôi] đã bắt được 29 sự cố của biến thể này, bắt nguồn từ bảy địa chỉ IP khác nhau. ”

Các cuộc tấn công ransomware tiếp tục tấn công bệnh viện, trường học và các tổ chức khác trong năm 2020. Chiến thuật ransomware “tống tiền kép” lần đầu tiên xuất hiện vào cuối năm 2019 bởi những người điều hành Maze – nhưng đã nhanh chóng được áp dụng trong vài tháng qua bởi nhiều tội phạm mạng đứng sau các dòng ransomware Clop, DoppelPaymer và Sodinokibi

Trong tương lai, các nhà nghiên cứu cảnh báo rằng các nhà khai thác PLEASE_READ_ME đang cố gắng nâng cấp trò chơi của họ bằng cách sử dụng hành vi tống tiền kép trên quy mô lớn. Họ nói: “Việc bao thanh toán hoạt động của họ sẽ giúp chiến dịch có khả năng mở rộng và sinh lãi cao hơn”.

Đặt Ransomware trên Run. Hãy để dành vị trí của bạn cho "Điều gì tiếp theo đối với Ransomware", một hội thảo trên web MIỄN PHÍ về Threatpost vào tháng 12. 16 lúc 2 giờ chiều. m. ET. Tìm hiểu những gì sắp xảy ra trong thế giới ransomware và cách chống trả.  

Nhận thông tin mới nhất từ ​​John (Austin) Merritt, Nhà phân tích tình báo về mối đe dọa mạng tại Digital Shadows; . Các chủ đề sẽ bao gồm các tác nhân đe dọa mã độc tống tiền nguy hiểm nhất, các TTP đang phát triển của chúng và tổ chức của bạn cần làm gì để vượt qua cuộc tấn công mã độc tống tiền tiếp theo, không thể tránh khỏi. Đăng ký tại đây cho Thứ Tư. , Tháng mười hai. 16 cho hội thảo trên web TRỰC TIẾP này

Phần mềm tống tiền có ảnh hưởng đến SQL Server không?

5 mục tiêu hàng đầu của ransomware là ai?

Cuộc tấn công ransomware mới nhất 2022 là gì?

3 nguyên nhân hàng đầu của các cuộc tấn công ransomware thành công là gì?