Naukowcy z Guardicore Labs odkryli trwającą już rok akcję bez wykorzystania złośliwego oprogramowania skierowaną do milionów internetowych baz danych MySQL.
Kampania, nazwana przez badaczy PLEASE_READ_ME, trwa od stycznia 2020 r. i wykorzystuje niezwykle prosty schemat działań (przeprowadzono co najmniej 92 ataków w ciągu ostatniego roku, a od października gwałtownie wzrosła ich ilość).
Co ciekawe, wydaje się, że hakerzy nie wykorzystują w swoich atakach żadnego rzeczywistego exploita ani ransomware. Wszystko zaczyna się od ataku brute-force w celu złamania haseł do baz danych MySQL, a następnie skopi9owania wszystkich danych w bazie. Po udanym ataku instalowany jest backdoor aby ułatwić przyszłe włamania.
„Pod koniec ataku dane ofiary znikają – są archiwizowane w pliku zip, który jest wysyłany do serwerów atakujących, a następnie usuwany z bazy danych” – piszą autorzy Ophir Harpaz i Omri Marom.
Guardicore Labs zauważyło również dwie różne wersje tej kampanii. Pierwsza, od stycznia do listopada 2020 roku, składała się w przybliżeniu z 2/3 zaobserwowanych ataków i polegała na pozostawieniu notatki o okupie z adresem portfela Bitcoin, żądaniem okupu, adresem e-mail do pomocy technicznej oraz 10-dniowym terminem płatności. Jednak pozostawiając te ślady, hakerzy umożliwili badaczom zbadanie, ile pieniędzy zostało na niego (portfel BTC) przelanych. Ostatecznie udało im się wyśledzić prawie 25.000 dolarów płatności z czterech oddzielnych adresów IP.
Drugi wariant, który działał przez cały październik i listopad, wykorzystuje stronę internetową ukrytą za routerem Tor w celu ułatwienia wypłaty okupu i daje ofiarom token alfanumeryczny w celu potwierdzenia ich tożsamości i link płatności do ich organizacji.
Jako przypomnienie i ostrzeżenie dla poszkodowanych o konsekwencjach niepłacenia, wymienia również ponad 250.000 baz danych z 83.000 serwerów MySQL i 77 terabajtów danych wyciekłych od tych, którzy odmówili spełnienia żądania okupu. Istnieje również osobna sekcja „Aukcja”, gdzie odwiedzający mogą kupić bazę danych za .03 Bitcoin, lub około 541 dolarów przy obecnym kursie wymiany na dolary amerykańskie.
W przeciwieństwie do wielu kampanii ransomware jest to raczej w dużej mierze zautomatyzowana operacja, gdzie ofiarą są przypadkowe podmioty. Hakerzy zadowalają się mniejszymi kwotami okupu ale za to stawiają na efekt skali atakując tak wiele z 5 milionów internetowych baz danych MySQL, jak to możliwe.
„Nie interesuje ich tożsamość ani wielkość ofiary, a ich skala jest znacznie większa niż w przypadku ataków celowych”, piszą Harpaz i Marom.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych