ALPHV/BlackCat é a 2ª cepa de ransomware mais predominante
123456 continua liderando lista de senhas mais utilizadas
Grupo pró-Israel é suspeito de atacar postos de gasolina no Irã
Grupo Play violou 300 vítimas, inclusive na América do Sul
Maioria das empresas de capital aberto no Brasil não possui CISO
Banco Central do Lesoto enfrenta interrupções após ciberataque
Malware Qakbot volta a atacar 3 meses após ter sido desmantelado
Pesquisadores do Guardicore Labs identificaram um ransomware oportunista que está atacando servidores MySQL por meio da exploração de credenciais de acesso fracas. Trata-se do ransomware “PLEASE_READ_ME”, que já fez mais de 83 mil vítimas. No entanto, considerando que existem cerca de 5 milhões desses servidores espalhados pelo mundo, o potencial de dano é muito maior.
O primeiro ataque à rede global de sensores da Guardicore (GGSN) foi identificado em 24 de janeiro deste ano. Desde então, um total de 92 ataques foram registrados pelos sensores, mostrando um aumento acentuado desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria dos quais localizados da Irlanda e do Reino Unido. O que levou os pesquisadores a monitorarem essa ameaça é o uso de dupla extorsão, em que dados roubados são publicados e colocados à venda como um meio de pressionar as vítimas a pagar resgate.
O Guardicore Labs observou duas etapas diferentes durante o período de vida da campanha. Na primeira, que durou de janeiro até o final de novembro, os hackers deixaram um pedido de resgate com o endereço da carteira, o valor em Bitcoin (BTC) a pagar e um endereço de e-mail para suporte técnico. Nenhuma extorsão dupla foi usada.
Como as carteiras Bitcoin foram especificadas explicitamente no pedido de resgate, os pesquisadores puderam explorar as carteiras e a quantidade de Bitcoin transferida para cada uma delas. Eles descobriram um total de 1.2867640900000001 BTCs transferidos para essas carteiras, o equivalente a US$ 25 mil.
Veja isso
Guardicore descobre primeiro malware em arquivo .WAV
Empresas eliminam firewalls legados por ineficácia contra ciberataques
A segunda fase começou no dia 3 de outubro e durou até o fim de novembro, e marcou uma evolução da campanha. O pagamento não é mais feito diretamente para uma carteira Bitcoin e nenhuma comunicação por e-mail é necessária. Em vez disso, os invasores colocam um site na rede TOR onde o pagamento deve ser feito. As vítimas são identificadas por meio de tokens alfanuméricos exclusivos que recebem na nota de resgate.
O site é um bom exemplo de mecanismo de extorsão dupla — contém todos os bancos de dados que vazaram e cujo resgate não foi pago. O site lista 250 mil bancos de dados diferentes de 83 mil servidores MySQL, com 7 terabytes de dados roubados. Até o momento, o GGSN contabilizou 29 incidentes dessa variante, originados de sete endereços IP diferentes.
O ataque começa com uma senha de força bruta no serviço MySQL. Uma vez bem-sucedido, o invasor executa uma sequência de consultas no banco de dados, reunindo dados sobre tabelas e usuários existentes. Ao final da execução, os dados da vítima desaparecem — são armazenados em um arquivo compactado que é enviado para os servidores dos atacantes e depois excluídos do banco de dados. Um pedido de resgate é deixado em uma tabela chamada WARNING, exigindo um pagamento de resgate de até 0,08 BTC.
O domínio .onion (hn4wg4o6s5nc7763.onion) leva a um painel completo onde as vítimas podem fornecer seu token e fazer o pagamento. O domínio de nível superior .onion é usado para distinguir serviços hospedados na rede TOR. Esses sites só podem ser acessados a partir do navegador TOR e garantem que seus operadores e usuários do lado do cliente permaneçam anônimos. A escolha de usar um domínio .onion torna mais difícil rastrear os invasores e onde sua infraestrutura está hospedada.
Os pesquisadores da Guardicore observam que campanhas de natureza oportunista como a do PLEASE_READ_ME geralmente são automáticas, o que significa que são executadas a partir de um script, e não por um ser humano. A coleta de inteligência ou reconhecimento não fazem parte do processo. Essa característica permite que tais campanhas sejam escalonadas significativamente e potencialmente infectem servidores importantes que estão erroneamente conectados à internet.
As campanhas de ataque desse tipo também não são direcionadas. Eles não têm interesse na identidade ou tamanho da vítima e resultam em uma escala muito maior do que a disponível para ataques direcionados. Pense nisso como “Factory Ransomware” — os invasores executam o ataque, ganhando menos dinheiro por vítima, mas calculando o número de máquinas infectadas.
O PLEASE_READ_ME é um ótimo exemplo:
1. É untargeted, ou seja, tenta infectar qualquer um dos 5 milhões de servidores MySQL voltados para a Internet.
2. É temporário, não passa tempo na rede além do necessário para o ataque real. Sem nenhum movimento lateral envolvido, o ataque começa e termina dentro do próprio banco de dados MySQL e não tenta escapar dele.
3. É simples. Não há cargas binárias envolvidas na cadeia de ataque, tornando o ataque “malguardado”. Apenas um script simples que quebra no banco de dados, rouba informações e deixa uma mensagem.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL
(para a newsletter não cair no SPAM)