PLEASE_READ_ME Ransomware

Il PLEASE_READ_ME Ransomware è una potente minaccia implementata in una campagna minacciosa in corso che è stata attiva da gennaio 2020. Gli hacker utilizzano tattiche di forza bruta per compromettere i server MySQL con credenziali deboli. Ci sono circa 5 milioni di server che possono diventare potenzialmente vittime della campagna.

La campagna PLEASE_READ_ME può essere suddivisa in due fasi distinte. Il primo si è svolto tra gennaio e novembre 2020. Portava le caratteristiche di una tipica operazione di ransomware. I server presi di mira sono stati compromessi, i database sono stati crittografati e la minaccia ha lasciato una richiesta di riscatto con le istruzioni. Alle vittime è stato detto di inviare una quantità specifica di bitcoin a un indirizzo di criptovaluta fornito nella nota e di contattare un indirizzo e-mail presente anche nella nota per ulteriori dettagli. I criminali hanno concesso alle loro vittime dieci giorni per eseguire la transazione. Il tracciamento dei portafogli rilevati ha rivelato che gli hacker avevano accumulato quasi 1,3 Bitcoin dai riscatti, che al tasso di cambio attuale è pari a circa $ 25.000.

La seconda fase della campagna ha introdotto cambiamenti significativi. Le vittime non hanno più bisogno di stabilire una comunicazione tramite messaggi di posta elettronica. Invece, i criminali informatici hanno creato un sito Web dedicato ospitato sulla rete TOR che conteneva un dashboard interattivo. Gli hacker hanno anche adottato una tattica su due fronti. Hanno compresso i dati delle vittime selezionate in un archivio zip, li hanno esfiltrati sui propri server e poi hanno proceduto all'eliminazione delle informazioni dai database compromessi. Tutte le informazioni rubate verranno quindi aggiunte a una sezione "repository" sul sito Web di TOR, dove vengono messe all'asta per la vendita. Un totale di 250.000 database diversi ottenuti da 83.000 server violati sono stati elencati con successo sul sito web degli hacker. Il prezzo di partenza di ogni database è 0,03 BTC.

Il PLEASE_READ_ME Ransomware ha comunque rilasciato una richiesta di riscatto durante la seconda fase della campagna. Le istruzioni erano contenute in una tabella denominata WARNING. Secondo la nota, le vittime colpite devono pagare la somma di 0,08 BTC se vogliono riavere i dati rubati.

Va notato che la minaccia stabilisce un meccanismo di backdoor. Una nuova voce utente - mysqlbackups '@'% ', viene aggiunta al database compromesso e può quindi essere utilizzata come punto di ingresso al sistema in qualsiasi momento in futuro.

Il testo completo contenuto nella tabella WARNING è:

'INSERT INTO' WARNING` (`id,` `warning,` website, `token`) VALUES (1, 'Per recuperare i database persi ed evitare di fughe di notizie: .... e inserisci il tuo token univoco ffc7e276a3c7ef27 e paga il quantità di Bitcoin per riaverlo. Database che abbiamo: i tuoi database vengono scaricati e sottoposti a backup sui nostri server. Se non riceviamo il tuo pagamento nei prossimi 9 giorni, venderemo il tuo database al miglior offerente o li utilizzeremo in altro modo. Per accedere a questo sito è necessario utilizzare il browser tor https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'