El ransomware PLEASE_READ_ME compromete al menos a 85.000 servidores
- Endpoint
El ataque explota credenciales débiles en servidores MySQL conectados a Internet, de los cuales hay cerca de 5 millones en todo el mundo. Los actores de ransomware detrás del ataque están vendiendo actualmente al menos 250.000 bases de datos comprometidas.
|
Recomendados: Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar |
Investigadores de Guardicore Labs advierten sobre una campaña activa de ransomware dirigida a servidores de bases de datos MySQL. El ransomware, llamado PLEASE_READ_ME, ha comprometido hasta ahora al menos 85.000 servidores en todo el mundo y está vendiendo al menos 250.000 bases de datos robadas en un sitio web. Se cree que los atacantes detrás de esta campaña han ganado al menos 25.000 dólares en los primeros 10 meses del año.
MySQL es un sistema de gestión de bases de datos relacionales de código abierto. El ataque explota credenciales débiles en servidores MySQL conectados a Internet, de los cuales hay cerca de 5 millones en todo el mundo. Desde que observó por primera vez la campaña de ransomware en enero, los atacantes han cambiado sus técnicas para presionar más a las víctimas y automatizar el proceso de pago del rescate.
“El ataque comienza con un ataque de contraseña de fuerza bruta en el servicio MySQL. Una vez accede con éxito, el atacante ejecuta una secuencia de consultas en la base de datos, recopilando datos de las tablas y los usuarios existentes”, afirman Ophir Harpaz y Omri Marom, investigadores de Guardicore Labs. "Al final de la ejecución, los datos de la víctima desaparecen, se archivan en un archivo comprimido que se envía a los servidores de los atacantes y luego se eliminan de la base de datos".
A continuación, el atacante deja una nota de rescate en una tabla, llamada "ADVERTENCIA", que exige un pago de rescate de hasta 0,08 bitcoins. La nota de rescate dice a las víctimas: “Sus bases de datos han sido descargadas y almacenadas en nuestros servidores. Si no recibimos su pago en los próximos 9 días, venderemos sus bases de datos al mejor postor o las usaremos de otra manera".
Los investigadores afirman que PLEASE_READ_ME (llamado así porque es el nombre de la base de datos que los atacantes crean en un servidor comprometido) es un ejemplo de un ataque de ransomware transitorio y no dirigido que no pasa mucho tiempo en la red, más allá de lo que se requiere en el ataque real, lo que significa que normalmente no hay ningún movimiento lateral. El ataque puede ser simple, pero también es peligroso, porque casi no tiene archivos. “No hay cargas útiles binarias involucradas en la cadena de ataque, lo que hace que el ataque sea 'sin malware'. Solo un simple script que ingresa a la base de datos, roba información y deja un mensaje", concluyen los investigadores.
