PLEASE_READ_ME Ransomware

Die PLEASE_READ_ME-Ransomware ist eine potenzielle Bedrohung, die in einer laufenden Bedrohungskampagne eingesetzt wird, die seit Januar 2020 aktiv ist. Die Hacker verwenden Brute-Force-Taktiken, um MySQL-Server mit schwachen Anmeldeinformationen zu gefährden. Es gibt ungefähr 5 Millionen Server, die möglicherweise Opfer der Kampagne werden können.

Die PLEASE_READ_ME-Kampagne kann in zwei verschiedene Phasen unterteilt werden. Die erste fand zwischen Januar und November 2020 statt. Sie wies die Merkmale einer typischen Ransomware-Operation auf. Die Zielserver wurden kompromittiert, die Datenbanken wurden verschlüsselt und die Bedrohung hinterließ einen Lösegeldschein mit Anweisungen. Die Opfer wurden angewiesen, eine bestimmte Menge an Bitcoins an eine in der Notiz angegebene Krypto-Brieftaschenadresse zu senden und eine E-Mail-Adresse zu kontaktieren, die ebenfalls in der Notiz enthalten ist, um weitere Einzelheiten zu erfahren. Die Kriminellen gaben ihren Opfern zehn Tage Zeit, um die Transaktion durchzuführen. Die Verfolgung der erkannten Brieftaschen ergab, dass die Hacker fast 1,3 Bitcoin aus Lösegeld angehäuft hatten, was bei dem aktuellen Wechselkurs ungefähr 25.000 US-Dollar entspricht.

In der zweiten Phase der Kampagne wurden wesentliche Änderungen vorgenommen. Die Opfer mussten keine Kommunikation mehr über E-Mail-Nachrichten herstellen. Stattdessen richteten die Cyberkriminellen eine spezielle Website ein, die im TOR-Netzwerk gehostet wurde und ein interaktives Dashboard enthielt. Die Hacker verfolgten auch eine zweigleisige Taktik. Sie komprimierten die Daten ausgewählter Opfer in ein Zip-Archiv, filterten sie auf ihre eigenen Server und löschten die Informationen aus den gefährdeten Datenbanken. Alle gestohlenen Informationen werden dann zu einem "Repository" -Bereich auf der TOR-Website hinzugefügt, wo sie zum Verkauf versteigert werden. Insgesamt 250 000 verschiedene Datenbanken von 83.000 Servern mit Sicherheitsverletzungen wurden erfolgreich auf der Website der Hacker aufgeführt. Der Startpreis jeder Datenbank beträgt 0,03 BTC.

Die PLEASE_READ_ME Ransomware hat in der zweiten Phase der Kampagne immer noch eine Lösegeldnotiz abgelegt. Die Anweisungen waren in einer Tabelle mit dem Namen WARNING enthalten. Dem Hinweis zufolge müssen betroffene Opfer die Summe von 0,08 BTC zahlen, wenn sie ihre gestohlenen Daten zurückerhalten möchten.

Es ist zu beachten, dass die Bedrohung einen Backdoor-Mechanismus einrichtet. Ein neuer Benutzereintrag - mysqlbackups '@'% '- wird der gefährdeten Datenbank hinzugefügt und kann dann zu jedem späteren Zeitpunkt als Einstiegspunkt für das System verwendet werden.

Der vollständige Text in der Tabelle WARNING lautet:

'INSERT IN `WARNING` (` id, `` warning, `` website, `` token`) VALUES (1,' Um Ihre verlorenen Datenbanken wiederherzustellen und ein Auslaufen zu vermeiden:…. Geben Sie Ihr eindeutiges Token ffc7e276a3c7ef27 ein und zahlen Sie den erforderlichen Betrag Bitcoin-Menge, um es zurückzubekommen. Datenbanken, die wir haben: Ihre Datenbanken werden heruntergeladen und auf unseren Servern gesichert. Wenn wir Ihre Zahlung in den nächsten 9 Tagen nicht erhalten, verkaufen wir Ihre Datenbank an den Höchstbietenden oder verwenden sie anderweitig. Um auf diese Site zuzugreifen, verwenden Sie den tor-Browser https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'