PLEASE_READ_ME Ransomware

PLEASE_READ_ME Ransomware er en potent trussel, der implementeres i en igangværende truende kampagne, der har været aktiv siden januar 2020. Hackerne bruger brute-force-taktik til at kompromittere MySQL-servere med svag legitimationsoplysninger. Der er cirka 5 millioner servere, der potentielt kan blive ofre for kampagnen.

PLEASE_READ_ME-kampagnen kan opdeles i to forskellige faser. Den første fandt sted mellem januar og november 2020. Den bar karakteristika ved en typisk ransomware-operation. De målrettede servere blev kompromitteret, databaser blev krypteret, og truslen efterlod en løsesumnote med instruktioner. Ofre blev bedt om at sende en bestemt mængde bitcoins til en crypto-tegnebog-adresse, der er angivet i noten, og kontakte en e-mail-adresse, der også findes i noten for yderligere oplysninger. Kriminelle gav deres ofre ti dage på at gennemføre transaktionen. Sporing af de opdagede tegnebøger afslørede, at hackerne havde samlet næsten 1,3 Bitcoin fra løsepenge, hvilket til den nuværende valutakurs er lig med ca. $ 25.000.

Den anden fase af kampagnen indførte betydelige ændringer. Ofre var ikke længere nødvendige for at etablere kommunikation via e-mail-beskeder. I stedet oprettede cyberkriminelle et dedikeret websted, der var vært på TOR-netværket, der indeholdt et interaktivt instrumentbræt. Hackerne vedtog også en todelt taktik. De komprimerede udvalgte ofres data i et zip-arkiv, exfiltrerede det til deres egne servere og fortsatte derefter med at slette oplysningerne fra de kompromitterede databaser. Alle stjålne oplysninger tilføjes derefter til et 'arkiv' sektion på TOR-webstedet, hvor det auktioneres til salg. I alt 250.000 forskellige databaser opnået fra 83.000 brudte servere blev med succes opført på hackernes websted. Startprisen for hver database er 0,03 BTC.

PLEASE_READ_ME Ransomware droppede stadig en løsesumnote i anden fase af kampagnen. Instruktionerne var indeholdt i en tabel med navnet ADVARSEL. Ifølge noten skal berørte ofre betale summen af 0,08 BTC, hvis de ønsker at få deres stjålne data tilbage.

Det skal bemærkes, at truslen skaber en bagdørmekanisme. En ny brugerindgang - mysqlbackups '@'% 'føjes til den kompromitterede database og kan derefter bruges som et indgangspunkt til systemet når som helst i fremtiden.

Den fulde tekst i ADVARSEL-tabellen er:

'INDSÆT I' ADVARSEL '(' id, 'advarsel,' websted, 'token') VÆRDIER (1, 'For at gendanne dine mistede databaser og undgå at lække det: .... og indtast dit unikke token ffc7e276a3c7ef27 og betal det krævede mængde Bitcoin for at få det tilbage. Databaser, som vi har: Dine databaser downloades og sikkerhedskopieres på vores servere. Hvis vi ikke modtager din betaling inden for de næste 9 dage, sælger vi din database til højstbydende eller bruger dem ellers. For at få adgang til dette websted har du brugt tor-browseren https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'