安全警告:PLEASE_READ_ME 勒索软件攻击 8.5 万台 MySQL 服务器

Andrew 2020-12-11
专栏 - 资讯 发布于 2020-12-11 12:06:21 阅读 1077 评论 0

这次攻击背后的勒索软件已经侵入了至少85,000个mysql服务器,并且目前正在出售至少250,000个数据库。

研究人员警告了针对MySQL数据库服务器的勒索软件活动。迄今为止,这种名为PLEASE_READ_ME的勒索软件已在全球范围内破坏了至少85,000台服务器,并在网站上发布了至少25万个被盗数据库。

MySQL是一个开源关系数据库管理系统。该攻击利用了面向互联网的MySQL服务器上的薄弱凭据,全球范围内有将近500万凭据。自一月份首次观察到勒索软件活动以来,研究人员表示,攻击者已改变其技术,以向受害者施加更大压力,并使勒索软件的付款过程自动化。

“攻击始于MySQL服务上的密码暴力破解。一旦成功,攻击者就会在数据库中运行一系列查询,收集现有表和用户上的数据,” Guardicore Labs研究人员Ophir Harpaz和Omri Marom在周四的帖子中说。“在执行结束时,受害人的数据已经消失了–存档在一个压缩文件中,该文件被发送到攻击者的服务器,然后从数据库中删除。”

攻击者从那里在一张名为“ WARNING”的表中留下赎金记录,要求该赎金支付最多0.08 BTC。赎金通知告诉受害者(普通),“您的数据库已下载并备份到我们的服务器上。如果我们在接下来的9天内没有收到您的付款,我们会将您的数据库出售给出价最高的人,否则将使用它们。”

研究人员认为,这场运动的攻击者在今年的前10个月中至少赚了25,000美元。

研究人员表示,PLEASE_READ_ME(之所以称其为攻击者在受感染服务器上创建的数据库的名称)是无目标,短暂的勒索软件攻击的示例,该攻击除了针对实际攻击所需的内容外,不会在网络上花费时间–表示通常不涉及横向运动。

研究人员警告说,这种攻击可能很简单,但也很危险,因为它几乎没有文件。他们说:“攻击链中没有二进制有效载荷,使攻击'无恶意软件'。” “只有一个简单的脚本会破坏数据库,窃取信息并留下消息。”

那就是说,后门用户mysqlbackups'@'%'被添加到数据库中以保持持久性,从而使攻击者将来可以访问受感染的服务器。

攻击进化

研究人员首先在1月份观察到PLEASE_READ_ME攻击,他们称之为攻击的“第一阶段”。在第一阶段,受害者需要直接将BTC转移到攻击者的钱包中。

勒索软件活动的第二阶段始于10月,研究人员说这标志着勒索软件活动的技术,战术和程序(TTP)的发展。研究人员说,在第二阶段,攻击演变为两次敲诈企图–意味着攻击者在发布数据的同时,迫使受害者支付赎金。在这里,攻击者在TOR网络中建立了一个可以付款的网站。研究人员说,可以使用令牌(而不是其IP /域)来标识支付赎金的受害者。

研究人员说:“该网站是双重勒索机制的一个很好的例子-它包含所有未支付赎金的泄露数据库。” “该网站列出了来自83,000个MySQL服务器的250,000个不同的数据库,以及7 TB的失窃数据。到目前为止,[我们]捕获了来自七个不同IP地址的29个此类事件。”

勒索软件攻击已经持续锤医院,学校和其他组织在2020年“双勒索”在2019末首次出现的勒索战术迷宫运营商-但已经落后于各种网络罪犯被迅速采用,在过去的几个月马蹄声,DoppelPaymer和Sodinokibi勒索软件系列。

展望未来,研究人员警告说,PLEASE_READ_ME运营商正在尝试通过大规模使用双重勒索来提高自己的游戏水平:“将其运营因素化将使该活动更具可扩展性和收益性。”

运行勒索软件:保存您的位置“勒索软件的下一步”,这是12月16日美国东部时间下午2点的免费Threatpost网络研讨会。了解勒索软件世界中正在发生的事情以及如何进行反击。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!