PLEASE_READ_ME Ransomware

O PLEASE_READ_ME Ransomware é uma ameaça potente sendo implantada em uma campanha ameaçadora contínua que está ativa desde janeiro de 2020. Os hackers usam táticas de força bruta para comprometer os servidores MySQL com credenciais fracas. Existem cerca de 5 milhões de servidores que podem se tornar vítimas da campanha potencialmente.

A campanha PLEASE_READ_ME pode ser separada em duas fases distintas. O primeiro ocorreu entre janeiro e novembro de 2020. Ele carregava as características de uma operação típica de ransomware. Os servidores visados foram comprometidos, os bancos de dados foram criptografados e a ameaça deixou uma nota de resgate com instruções. As vítimas foram instruídas a enviar uma quantidade específica de bitcoins para um endereço de carteira criptografado fornecido na nota e a entrar em contato com um endereço de e-mail também encontrado na nota para quaisquer detalhes adicionais. Os criminosos deram às vítimas dez dias para realizar a transação. Rastrear as carteiras detectadas revelou que os hackers acumularam cerca de 1,3 Bitcoin de resgates, o que na taxa de câmbio atual é igual a $25.000 aproximadamente.

A segunda fase da campanha introduziu mudanças significativas. As vítimas não precisam mais estabelecer comunicação por meio de mensagens de e-mail. Em vez disso, os cibercriminosos estabeleceram um site dedicado hospedado na rede TOR que continha um painel interativo. Os hackers também adotaram uma tática dupla. Eles compactaram os dados das vítimas selecionadas em um arquivo zip, exfiltraram-nos em seus próprios servidores e, em seguida, apagaram as informações dos bancos de dados comprometidos. Todas as informações roubadas serão então adicionadas a uma seção de 'repositório' no site do TOR, onde são leiloadas para venda. Um total de 250.000 bancos de dados diferentes obtidos de 83.000 servidores violados foram listados no site dos hackers com sucesso. O preço inicial de cada banco de dados é 0,03 BTC.

O PLEASE_READ_ME Ransomware ainda deixou uma nota de resgate durante a segunda fase da campanha. As instruções estavam contidas em uma tabela chamada WARNING. De acordo com a nota, as vítimas afetadas têm que pagar a quantia de 0,08 BTC se quiserem ter seus dados roubados de volta.

Deve-se observar que a ameaça estabelece um mecanismo de backdoor. Uma nova entrada de usuário - mysqlbackups '@'% ', é adicionada ao banco de dados comprometido e pode então ser utilizada como um ponto de entrada para o sistema em qualquer ponto no futuro.

O texto completo contido na tabela WARNING é:

'INSERT INTO `WARNING` (`id,` `warning,` `website,` `token`) VALUES (1,' Para recuperar seus bancos de dados perdidos e evitar vazá-los: ... e insira seu token exclusivo ffc7e276a3c7ef27 e pague o necessário quantidade de Bitcoins para recuperá-lo. Bancos de dados que temos: Seus bancos de dados são baixados e armazenados em nossos servidores. Se não recebermos seu pagamento nos próximos 9 dias, venderemos seu banco de dados para o licitante mais alto ou usá-los de outra forma. Para acessar este site você deve usar o navegador tor https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion', 'ffc7e276a3c7ef27');'