Le ransomware PLEASE_READ_ME a infecté 85 000 serveurs MySQL

Les chercheurs mettent en garde contre une campagne active qui cible les serveurs de base de données MySQL. Le ransomware, appelé PLEASE_READ_ME, a jusqu’à présent infecté au moins 85 000 serveurs dans le monde et a partagé au moins 250 000 bases de données volées.

MySQL est un système de gestion de base de données relationnelle open source. L’attaque exploite des informations d’identification faibles sur des serveurs MySQL connectés à Internet, dont près de 5 millions dans le monde. Depuis la première observation de la campagne du ransomware en Janvier, les chercheurs ont déclaré que les attaquants avaient changé leurs techniques pour mettre plus de pression sur les victimes et automatiser le processus de paiement de la rançon.

«L’attaque commence par un forçage brute de mot de passe sur le service MySQL. Une fois réussi, l’attaquant exécute une séquence de requêtes dans la base de données, rassemblant des données sur les tables et les utilisateurs existants », ont déclaré Ophir Harpaz et Omri Marom, chercheurs chez Guardicore Labs, dans un article. «À la fin de l’exécution, les données de la victime ont disparu, elles sont archivées dans un fichier compressé qui est envoyé aux serveurs des attaquants puis supprimé de la base de données.»

De là, l’attaquant laisse une note de rançon dans un tableau, nommé «WARNING», qui exige un paiement de rançon allant jusqu’à 0,08 BTC(Bitcoin). La note de rançon dit aux victimes (textuellement): «Vos bases de données sont téléchargées et sauvegardées sur nos serveurs. Si nous ne recevons pas votre paiement dans les 9 prochains jours, nous vendrons votre base de données au plus offrant ou les utiliserons autrement. »

Les chercheurs estiment que les attaquants à l’origine de la campagne d’infection de PLEASE_READ_ME ont gagné au moins 25 000 dollars au cours des 10 premiers mois de l’année.

velvetsweatshop

Les chercheurs ont déclaré que PLEASE_READ_ME (appelé de cette façon parce que c’est le nom de la base de données que les attaquants créent sur un serveur compromis) est un exemple d’attaque de ransomware non ciblée et transitoire qui ne passe pas de temps sur le réseau après avoir ciblé ce qui est nécessaire pour l’attaque réelle. Cela signifie qu’il n’y a généralement aucun mouvement latéral impliqué.

L’attaque de PLEASE_READ_ME est peut-être simple, mais elle est également dangereuse, ont averti les chercheurs, car elle est presque sans fichier. “Il n’y a pas de charge utile binaire impliquée dans la chaîne d’attaque, ce qui rend l’attaque ‘sans malware’ “, ont-ils déclaré. “Seul un simple script qui s’introduit dans la base de données, vole des informations et laisse un message.”

Cela dit, un utilisateur de porte dérobée mysqlbackups’@’%’ est ajouté à la base de données à des fins de persistance, offrant aux attaquants un accès futur au serveur compromis, ont déclaré les chercheurs.

Evolution de l’attaque de PLEASE_READ_ME

Les chercheurs ont observé pour la première fois les attaques PLEASE_READ_ME en Janvier, dans ce qu’ils ont appelé la «première phase» de l’attaque. Dans cette première phase, les victimes devaient transférer des bitcoins directement dans le portefeuille de l’attaquant.

PLEASE_READ_ME

La deuxième phase de la campagne de PLEASE_READ_ME a débuté en Octobre, ce qui, selon les chercheurs, a marqué une évolution des techniques, tactiques et procédures de la campagne. Dans la deuxième phase, l’attaque a évolué en une double tentative d’extorsion, selon les chercheurs, ce qui signifie que les attaquants publient des données tout en faisant pression sur les victimes pour qu’elles paient la rançon. Ici, les attaquants ont mis en place un site Web dans le réseau TOR où les paiements peuvent être effectués. Les victimes qui paient la rançon peuvent être identifiées à l’aide de jetons (par opposition à leur propriété intellectuelle/domaine), ont déclaré les chercheurs.

«Le site Web est un bon exemple de mécanisme de double extorsion, il contient toutes les bases de données divulguées pour lesquelles une rançon n’a pas été payée», ont déclaré les chercheurs. «Le site Web répertorie 250 000 bases de données différentes provenant de 83 000 serveurs MySQL, avec 7 To de données volées. Jusqu’à présent, [nous] avons capturé 29 incidents de cette variante, provenant de sept adresses IP différentes. “

Les attaques de ransomwares ont continué de frapper les hôpitaux, les écoles et d’autres organisations en 2020. La tactique des ransomwares de «double extorsion» est apparue pour la première fois fin 2019 par les opérateurs de Maze, mais a été rapidement adoptée au cours des derniers mois par divers cybercriminels qui développent des ransomwares comme Clop, DoppelPaymer et les familles de ransomwares Sodinokibi.

Pour l’avenir, les chercheurs préviennent que les opérateurs de PLEASE_READ_ME essaient d’améliorer leur impact en utilisant la double extorsion à grande échelle: «La factorisation de leur opération rendra la campagne plus évolutive et rentable», ont-ils déclaré.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires