PLEASE_READ_ME: O Ransomware oportunista que está devastando Servidores MySQL

Views: 428

Resumo

• PLEASE_READ_ME é uma campanha de ransomware ativa voltada para servidores de banco de dados MySQL e data de pelo menos janeiro de 2020.
• A cadeia de ataque é extremamente simples e explora credenciais fracas em servidores MySQL voltados para a internet. Existem cerca de 5M de servidores MySQL voltados para a internet em todo o mundo.
• Os invasores deixam um usuário backdoor no banco de dados para persistência, permitindo que eles ressusam a rede.
  A Guardicore Labs testemunhou duas variantes da campanha, detalhadas neste post.
• 250.000 bancos de dados são oferecidos para venda no painel dos atacantes, de 83.000 vítimas violadas com sucesso.
• A monetização da campanha evoluiu para uma dupla tentativa de extorsão – publicar e oferecer dados para venda para pressionar as vítimas a pagar resgate.
• Os indicadores de Compromisso estão disponíveis no repositóriode campanhas da Guardicore Labs .

Uma campanha de ransomware em evolução

O primeiro ataque à Rede Global de Sensores Guardicore (GGSN) foi capturado em 24 de janeiro de 2020. Desde então, um total de 92 ataques foram relatados por nossos sensores, mostrando um aumento acentuado em seu número desde outubro. Os ataques são originários de 11 endereços IP diferentes, a maioria dos quais são da Irlanda e do Reino Unido. O que nos levou a monitorar de perto essa ameaça é o uso de dupla extorsão, onde dados roubados são publicados e oferecidos à venda como um meio de pressionar as vítimas a pagar o resgate.

A Guardicore Labs observou duas variantes diferentes durante a vida desta campanha. No primeiro, que durou de janeiro até o final de novembro, os atacantes deixaram uma nota de resgate com seu endereço de carteira, a quantidade de Bitcoin para pagar e um endereço de e-mail para suporte técnico. Foram dados 10 dias para as vítimas realizarem o pagamento. Uma vez que as carteiras de Bitcoin foram especificadas explicitamente em notas de resgate, poderíamos explorar as carteiras e a quantidade de BTC transferido para cada uma delas. Descobrimos que um total de 1,2867640900000001 BTC havia sido transferido para essas carteiras, equivalente a 24.906 USD. Os Sensores Guardicore capturaram 63 ataques desse tipo, provenientes de 4 endereços IP diferentes.

A segunda fase começou no dia 3 de outubro e durou até o final de novembro, e marcou uma evolução da campanha. O pagamento não é mais feito diretamente em uma carteira bitcoin, e nenhuma comunicação de e-mail é necessária. Em vez disso, os invasores colocaram um site na rede TOR onde o pagamento pode ser feito. As vítimas são identificadas usando tokens alfanuméricos únicos que recebem na nota de resgate.

O site é um bom exemplo de um mecanismo de dupla extorsão – contém todos os bancos de dados vazados para os quais o resgate não foi pago. O site lista 250 mil bancos de dados diferentes de servidores MySQL de 83k, com 7 TB de dados roubados. Até agora, o GGSN capturou 29 incidentes desta variante, originários de 7 endereços IP diferentes.

Esta fase marca uma evolução da campanha de várias formas.

• Primeiro, o mapeamento entre uma vítima e seu banco de dados roubado agora é feito automaticamente, com um token único, e não envolve pesquisa através de IPs e domínios para encontrar o banco de dados roubado.
• Além disso, o “repositório” de todos os bancos de dados roubados é gerenciado em um só lugar e é público – as vítimas podem ver seus bancos de dados na lista e serem pressionadas a pagar o resgate.
• Por último, o site cria uma experiência mais suave para a vítima e ainda constrói mais confiança entre a vítima e os agressores, à medida que os detalhes do banco de dados são fornecidos.

Cadeia de ataque

O ataque começa com uma senha de força bruta no serviço MySQL. Uma vez bem sucedido, o invasor executa uma sequência de consultas no banco de dados, coletando dados sobre tabelas e usuários existentes. Ao final da execução, os dados da vítima se foram – são arquivados em um arquivo com zíper que é enviado para os servidores dos invasores e, em seguida, excluídos do banco de dados. Uma nota de resgate é deixada em uma mesa chamada WARNING, exigindo um pagamento de resgate de até 0,08 BTC.INSIRA EM ‘AVISO’ (‘id’, ‘aviso’, ‘site’, ‘token’) VALORES (1, ‘Para recuperar seus bancos de dados perdidos e evitar vazá-lo: visite http://hn4wg4o6s5nc7763.onion e digite seu token exclusivo ffc7e276a3c7ef27 e pague a quantidade necessária de Bitcoin para recuperá-lo. Bancos de dados que temos: . Seus bancos de dados são baixados e backup em nossos servidores. Se não recebermos seu pagamento nos próximos 9 dias, venderemos seu banco de dados para o maior lance ou os usaremos de outra forma. Para acessar este site você tem que usar o navegador tor https://www.torproject.org/projects/torbrowser.html’, ‘http://hn4wg4o6s5nc7763.onion’, ‘ffc7e276a3c7ef27’);

Além disso, um usuário de backdoor mysqlbackups’@’%’ é adicionado ao banco de dados para persistência, fornecendo aos invasores acesso futuro ao servidor comprometido.

Site de vazamento oferece bancos de dados para compra

O domínio .onion – hn4wg4o6s5nc7763.onion – leva a um painel completo onde as vítimas podem fornecer seu token e fazer o pagamento. O domínio de nível superior .cebola é usado para distinguir serviços hospedados na rede TOR. Esses sites só podem ser acessados a partir do navegador TOR, e garantem que tanto seus operadores quanto os usuários do lado do cliente permaneçam anônimos. A escolha de usar um domínio .onion torna mais difícil rastrear os invasores e onde sua infraestrutura está hospedada.

Todos os bancos de dados roubados são oferecidos para venda em uma seção no site intitulado Leilão, todos com um preço uniforme de 0,03 Bitcoin. Uma tabela nesta página lista todos os bancos de dados roubados por token, juntamente com seus tamanhos. Ao rastrear as páginas do leilão, a Guardicore Labs encontrou quase 83 mil tokens exclusivos. Restaurar dados custará a vítima 0,03 BTC, o que equivale (no momento da escrita) em torno de US $ 520.

Ataques de ransomware vêm de formas diferentes

Algumas campanhas de ransomware são altamente direcionadas; eles são planejados com antecedência por meses e são executados perfeitamente. Essas campanhas são ameaças avançadas e persistentes (APTs). Eles violam a rede, realizam movimentos laterais silenciosos e cuidadosos para infectar vários ativos, criptografar dados valiosos e exigir resgate para restauração.

Outras campanhas são oportunistas por natureza. Essas campanhas geralmente são automáticas, o que significa que são executadas a partir de um script e não por um ser humano. A coleta de informações ou o reconhecimento não fazem parte do processo. Essa característica permite que essas campanhas dimensionem significativamente e potencialmente infectem servidores importantes que estão equivocadamente conectados à internet.

Campanhas de ataque desse tipo não são alvo. Eles não têm interesse na identidade ou tamanho da vítima, e resultam em uma escala muito maior do que a disponível para ataques direcionados. Pense nisso como “Factory Ransomware” – os atacantes executam o ataque, ganhando menos dinheiro por vítima, mas levando em conta o número de máquinas infectadas.

PLEASE_READ_ME é um grande exemplo deste último tipo:

1. Não é alvo: ele tenta infectar qualquer um dos 5 milhões de servidores MySQL que são voltados para a internet.
2. É transitório – não passa tempo na rede além do necessário para o ataque real. Sem movimento lateral envolvido, o ataque começa e termina dentro do próprio banco de dados MySQL e não tenta escapar dele.
3. É simples. Não há cargas binárias envolvidas na cadeia de ataque, tornando o ataque “sem malware”. Apenas um simples script que quebra no banco de dados, rouba informações e deixa uma mensagem.

Os operadores de PLEASE_READ_ME estão tentando aumentar seu jogo usando extorsão dupla em escala. Fatorar sua operação tornará a campanha mais escalável e lucrativa. A Guardicore Labs fornece um repositório de IOCs e continuará monitorando esta campanha para ajudar as organizações a protegê-la.

FONTE: GUARDICORE