PLEASE_READ_ME Ransomware

De PLEASE_READ_ME Ransomware is een krachtige bedreiging die wordt ingezet in een voortdurende dreigingscampagne die actief is sinds januari 2020. De hackers gebruiken brute-force-tactieken om MySQL-servers met zwakke inloggegevens in gevaar te brengen. Er zijn ongeveer 5 miljoen servers die mogelijk het slachtoffer kunnen worden van de campagne.

De campagne PLEASE_READ_ME kan worden onderverdeeld in twee verschillende fasen. De eerste vond plaats tussen januari en november 2020. Het had de kenmerken van een typische ransomware-operatie. De beoogde servers werden gecompromitteerd, de databases werden versleuteld en de dreiging liet een losgeldbrief achter met instructies. Slachtoffers werd verteld om een bepaald aantal bitcoins te sturen naar een crypto-wallet-adres dat in de notitie vermeld staat en om contact op te nemen met een e-mailadres dat ook in de notitie staat voor eventuele aanvullende details. De criminelen gaven hun slachtoffers tien dagen de tijd om de transactie uit te voeren. Het traceren van de gedetecteerde portefeuilles onthulde dat de hackers bijna 1,3 Bitcoin hadden verzameld uit losgeld, wat tegen de huidige wisselkoers ongeveer gelijk is aan $ 25.000.

De tweede fase van de campagne bracht belangrijke veranderingen met zich mee. Slachtoffers hoefden niet langer te communiceren via e-mailberichten. In plaats daarvan hebben de cybercriminelen een speciale website opgezet die wordt gehost op het TOR-netwerk en een interactief dashboard bevat. De hackers hanteerden ook een tweeledige tactiek. Ze comprimeerden de gegevens van geselecteerde slachtoffers in een zip-archief, exfiltreerden het naar hun eigen servers en gingen vervolgens verder met het verwijderen van de informatie uit de gecompromitteerde databases. Alle gestolen informatie wordt vervolgens toegevoegd aan een 'repository'-sectie op de TOR-website, waar het te koop wordt aangeboden. Een totaal van 250.000 verschillende databases verkregen van 83.000 gelekte servers werden met succes op de website van de hackers vermeld. De startprijs van elke database is 0,03 BTC.

De PLEASE_READ_ME Ransomware liet nog steeds een losgeldbriefje vallen tijdens de tweede fase van de campagne. De instructies waren vervat in een tabel met de naam WARNING. Volgens de nota moeten de getroffen slachtoffers een bedrag van 0,08 BTC betalen als ze hun gestolen gegevens terug willen krijgen.

Opgemerkt moet worden dat de dreiging een achterdeurmechanisme tot stand brengt. Een nieuwe gebruikersinvoer - mysqlbackups '@'% ', wordt aan de gecompromitteerde database toegevoegd en kan vervolgens op elk moment in de toekomst als toegangspunt tot het systeem worden gebruikt.

De volledige tekst in de WAARSCHUWING-tabel is:

'VOEG IN' WAARSCHUWING '(' id, 'waarschuwing,' website, 'token') WAARDEN (1, 'Om uw verloren databases te herstellen en te voorkomen dat ze lekken: .... En voer uw unieke token in ffc7e276a3c7ef27 en betaal de vereiste hoeveelheid Bitcoin om het terug te krijgen. Databases die we hebben: Uw databases worden gedownload en er wordt een back-up van gemaakt op onze servers. Als we uw betaling niet binnen de komende 9 dagen ontvangen, zullen we uw database aan de hoogste bieder verkopen of anderszins gebruiken. Om toegang te krijgen tot deze site heb je de tor browser https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'