large-3841242_1280.jpg

Ransomware oportunista já atacou mais de 83 mil servidores MySQL

Malware explora credenciais de acesso fracas e utiliza tática de dupla extorsão para pressionar as vítimas a pagar resgate
Da Redação
10/12/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores do Guardicore Labs identificaram um ransomware oportunista que está atacando servidores MySQL por meio da exploração de credenciais de acesso fracas. Trata-se do ransomware “PLEASE_READ_ME”, que já fez mais de 83 mil vítimas. No entanto, considerando que existem cerca de 5 milhões desses servidores espalhados pelo mundo, o potencial de dano é muito maior.

O primeiro ataque à rede global de sensores da Guardicore (GGSN) foi identificado em 24 de janeiro deste ano. Desde então, um total de 92 ataques foram registrados pelos sensores, mostrando um aumento acentuado desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria dos quais localizados da Irlanda e do Reino Unido. O que levou os pesquisadores a monitorarem essa ameaça é o uso de dupla extorsão, em que dados roubados são publicados e colocados à venda como um meio de pressionar as vítimas a pagar resgate.

O Guardicore Labs observou duas etapas diferentes durante o período de vida da campanha. Na primeira, que durou de janeiro até o final de novembro, os hackers deixaram um pedido de resgate com o endereço da carteira, o valor em Bitcoin (BTC) a pagar e um endereço de e-mail para suporte técnico. Nenhuma extorsão dupla foi usada.

Como as carteiras Bitcoin foram especificadas explicitamente no pedido de resgate, os pesquisadores puderam explorar as carteiras e a quantidade de Bitcoin transferida para cada uma delas. Eles descobriram um total de 1.2867640900000001 BTCs transferidos para essas carteiras, o equivalente a US$ 25 mil.

Veja isso
Guardicore descobre primeiro malware em arquivo .WAV
Empresas eliminam firewalls legados por ineficácia contra ciberataques

A segunda fase começou no dia 3 de outubro e durou até o fim de novembro, e marcou uma evolução da campanha. O pagamento não é mais feito diretamente para uma carteira Bitcoin e nenhuma comunicação por e-mail é necessária. Em vez disso, os invasores colocam um site na rede TOR onde o pagamento deve ser feito. As vítimas são identificadas por meio de tokens alfanuméricos exclusivos que recebem na nota de resgate.

O site é um bom exemplo de mecanismo de extorsão dupla — contém todos os bancos de dados que vazaram e cujo resgate não foi pago. O site lista 250 mil bancos de dados diferentes de 83 mil servidores MySQL, com 7 terabytes de dados roubados. Até o momento, o GGSN contabilizou 29 incidentes dessa variante, originados de sete endereços IP diferentes.

Corrente de ataque

O ataque começa com uma senha de força bruta no serviço MySQL. Uma vez bem-sucedido, o invasor executa uma sequência de consultas no banco de dados, reunindo dados sobre tabelas e usuários existentes. Ao final da execução, os dados da vítima desaparecem — são armazenados em um arquivo compactado que é enviado para os servidores dos atacantes e depois excluídos do banco de dados. Um pedido de resgate é deixado em uma tabela chamada WARNING, exigindo um pagamento de resgate de até 0,08 BTC.

O domínio .onion (hn4wg4o6s5nc7763.onion) leva a um painel completo onde as vítimas podem fornecer seu token e fazer o pagamento. O domínio de nível superior .onion é usado para distinguir serviços hospedados na rede TOR. Esses sites só podem ser acessados ​​a partir do navegador TOR e garantem que seus operadores e usuários do lado do cliente permaneçam anônimos. A escolha de usar um domínio .onion torna mais difícil rastrear os invasores e onde sua infraestrutura está hospedada.

Ransomware oportunista

Os pesquisadores da Guardicore observam que campanhas de natureza oportunista como a do PLEASE_READ_ME geralmente são automáticas, o que significa que são executadas a partir de um script, e não por um ser humano. A coleta de inteligência ou reconhecimento não fazem parte do processo. Essa característica permite que tais campanhas sejam escalonadas significativamente e potencialmente infectem servidores importantes que estão erroneamente conectados à internet.

As campanhas de ataque desse tipo também não são direcionadas. Eles não têm interesse na identidade ou tamanho da vítima e resultam em uma escala muito maior do que a disponível para ataques direcionados. Pense nisso como “Factory Ransomware” — os invasores executam o ataque, ganhando menos dinheiro por vítima, mas calculando o número de máquinas infectadas.

O PLEASE_READ_ME é um ótimo exemplo:

1. É untargeted, ou seja, tenta infectar qualquer um dos 5 milhões de servidores MySQL voltados para a Internet.

2. É temporário, não passa tempo na rede além do necessário para o ataque real. Sem nenhum movimento lateral envolvido, o ataque começa e termina dentro do próprio banco de dados MySQL e não tenta escapar dele.

3. É simples. Não há cargas binárias envolvidas na cadeia de ataque, tornando o ataque “malguardado”. Apenas um script simples que quebra no banco de dados, rouba informações e deixa uma mensagem.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório