A cadeia de ataque é extremamente simples e explora credenciais fracas na de acesso a Servidores MySQL voltados para a Internet. Foram violados 83 mil servidores; existem cerca de cinco milhões desses servidores em todo o mundo. Ao todo foram roubados 250 mil bancos de dados, pois havia múltiplos bancos de dados nos servidores atingidos. Os ataques são provenientes de 11 diferentes endereços IP, na Irlanda e no Reino Unido.
Na segunda fase da campanha, iniciada em outubro, a monetização da campanha se tornou uma dupla tentativa de extorsão – publicação e oferta de dados para venda, de modo a pressionar as vítimas para pagarem resgate.
Uma campanha de ransomware em evolução
O primeiro ataque à Rede de Sensores Globais da Guardicore (GGSN) foi capturado em 24 de janeiro de 2020. Desde então, um total de 92 ataques foram relatados por nossos sensores, mostrando um aumento acentuado em seu número desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria dos quais da Irlanda e do Reino Unido. O que nos levou a monitorar de perto essa ameaça é o uso de extorsão dupla, em que dados roubados são publicados e colocados à venda como um meio de pressionar as vítimas a pagar o resgate.
Guardicore Labs observou duas variantes diferentes durante o período de vida desta campanha. Na primeira, que durou de janeiro até o final de novembro, os atacantes deixaram uma nota de resgate com o endereço da carteira, o valor em Bitcoin a pagar e um endereço de e-mail para suporte técnico. 10 dias foram dados para que as vítimas realizassem o pagamento. Como as carteiras Bitcoin foram especificadas explicitamente nas notas de resgate, poderíamos explorar as carteiras e a quantidade de BTC transferida para cada uma delas. Descobrimos que um total de 1.2867640900000001 BTC foi transferido para essas carteiras, o equivalente a 24.906 USD. Os sensores Guardicore capturaram 63 ataques desse tipo, vindos de 4 endereços IP diferentes.
A segunda fase começou no dia 3 de outubro e durou até o final de novembro, e marcou uma evolução da campanha. O pagamento não é mais feito diretamente para uma carteira Bitcoin e nenhuma comunicação por e-mail é necessária. Em vez disso, os invasores colocam um site na rede TOR onde o pagamento pode ser feito. As vítimas são identificadas por meio de tokens alfanuméricos exclusivos que recebem na nota de resgate.
O site é um bom exemplo de mecanismo de extorsão dupla – ele contém todos os bancos de dados que vazaram para os quais o resgate não foi pago. O site lista 250 mil bancos de dados diferentes de 83 mil servidores MySQL, com 7 TB de dados roubados. Até o momento, o GGSN capturou 29 incidentes dessa variante, originados de 7 endereços IP diferentes.
Esta fase marca uma evolução da campanha de várias maneiras.
• Primeiro, o mapeamento entre a vítima e seu banco de dados roubado agora é feito automaticamente, com um token exclusivo, e não envolve a pesquisa de IPs e domínios para encontrar o banco de dados roubado.
• Além disso, o “repositório” de todos os bancos de dados roubados é gerenciado em um único lugar e é público – as vítimas podem ver seus bancos de dados na lista e ser pressionados a pagar o resgate.
• Por último, o site cria uma experiência mais tranquila para a vítima e ainda constrói mais confiança entre a vítima e os invasores, conforme os detalhes do banco de dados são fornecidos.
Ataques de ransomware vêm em diferentes formas
Algumas campanhas de ransomware são altamente direcionadas; eles são planejados com antecedência por meses e executados na perfeição. Essas campanhas são ameaças avançadas e persistentes (APTs). Eles violam a rede, realizam movimentos laterais silenciosos e cuidadosos para infectar vários ativos, criptografar dados valiosos e exigir resgate para restauração.
Outras campanhas são de natureza oportunista. Essas campanhas são geralmente automáticas, o que significa que são executadas a partir de um script, e não por um ser humano. A coleta de inteligência ou reconhecimento não fazem parte do processo. Essa característica permite que tais campanhas sejam escalonadas significativamente e potencialmente infectem servidores importantes que estão erroneamente conectados à Internet.
Campanhas de ataque desse tipo não são direcionadas. Eles não têm interesse na identidade ou tamanho da vítima e resultam em uma escala muito maior do que a disponível para ataques direcionados. Pense nisso como “Factory Ransomware” – os invasores executam o ataque, ganhando menos dinheiro por vítima, mas calculando o número de máquinas infectadas.
PLEASE_READ_ME é um ótimo exemplo do último tipo:
1. Ele não tem um alvo: tenta infectar qualquer um dos 5 milhões de servidores MySQL voltados para a Internet.
2. É transitório – não passa tempo na rede além do necessário para o ataque real. Sem nenhum movimento lateral envolvido, o ataque começa e termina dentro do próprio banco de dados MySQL e não tenta escapar dele.
3. É simples. Não há cargas binárias envolvidas na cadeia de ataque, tornando o ataque “sem malguardia”. Apenas um script simples que quebra no banco de dados, rouba informações e deixa uma mensagem.
Os operadores PLEASE_READ_ME estão tentando melhorar seu jogo usando extorsão dupla em escala. Fatorar sua operação tornará a campanha mais escalonável e lucrativa. A Guardicore Labs fornece um repositório IOCs e continuará monitorando esta campanha para ajudar as organizações a se protegerem contra ela.
