MySQL szervereket pusztító ransomware

Editors' Pick
Yanac ,

A PLEASE_READ_ME aktív zsarolóvírus-kampány 2020 januárja óta fenyegeti a MySQL adatbázis-szervereket. A kampány az internetre kötött MySQL szerverek gyenge hitelesítő adatait használja ki, és világszerte mintegy 5 millió ilyen szervert érinthet. A sikeres támadás során egy hátsó ajtós felhasználó kerül létrehozásra az adatbázisban, amely a támadóknak jövőbeli hozzáférést biztosít. A Guardicore Labs a kampány két változatát azonosította, amelyekből mintegy 250 000 adatbázis áll a támadók célkeresztjében, amiből mintegy 83 000 sikeresen elért áldozatról tudnak. A kampánystratégia legújabb verziója kettős zsarolási kísérleteket is tartalmaz, amelyek során adatokat tesznek közzé és kínálnak eladásra, hogy az áldozatokat váltságdíjfizetésre kényszerítsék.

2020 októberétől kezdve a kampány a hatékonyság és a nyereségesség növelése érdekében fejlődött. Az áldozatokat mostantól egyedi alfanumerikus tokenek segítségével azonosítják, amelyeket a váltságdíjfizetési felszólításban kapnak, és az ellopott adatbázisokat nyilvánosan, egy helyen listázzák és kezelik, ezáltal gyakorolnak  nyomást a váltságdíjfizetésre. Ráadásul a támadók most már egy, a TOR-hálózaton található weboldalt használnak a közvetlen fizetésre, amely az ellopott adatbázisok adatait is felsorolja, így fokozva a zsarolás hatását. Érdekes módon ez a stratégiaváltás gördülékenyebb felhasználói élményt teremt, és egyfajta bizalmat táplál az áldozat és a támadók között. A támadók az anonimitást és a nyomon követhetőség csökkentését is biztosították azzal, hogy a .onion domain használatát választották.

A PLEASE_READ_ME tipikus példája az opportunista, nem célzott zsarolóvírus-kampányoknak. Célja, hogy megfertőzze az 5 millió MySQL-kiszolgáló bármelyikét, amely az internetre néz. A kampány a tényleges támadáson túl nem tölt időt a hálózatban, és nincs szó oldalirányú mozgásról, magában a MySQL-adatbázisban kezdődik és végződik. Az üzemeltetők a kettős zsarolás nagyarányú alkalmazásával fejlesztik a technikájukat, ami a kampányt skálázhatóbbá és jövedelmezőbbé teheti. A Guardicore Labs folyamatosan felügyeli a kampányt, hogy segítsen a szervezeteknek a kampány elleni védekezésben.

(forrás)