PLEASE_READ_ME ransomware

El PLEASE_READ_ME Ransomware es una potente amenaza que se está implementando en una campaña de amenazas en curso que ha estado activa desde enero de 2020. Los piratas informáticos utilizan tácticas de fuerza bruta para comprometer los servidores MySQL con credenciales débiles. Hay aproximadamente 5 millones de servidores que pueden convertirse potencialmente en víctimas de la campaña.

La campaña PLEASE_READ_ME se puede dividir en dos fases distintas. El primero tuvo lugar entre enero y noviembre de 2020. Tenía las características de una operación típica de ransomware. Los servidores objetivo se vieron comprometidos, las bases de datos se cifraron y la amenaza dejó una nota de rescate con instrucciones. Se les dijo a las víctimas que enviaran una cantidad específica de bitcoins a una dirección de billetera criptográfica proporcionada en la nota y que se contactaran con una dirección de correo electrónico que también se encuentra en la nota para obtener detalles adicionales. Los delincuentes dieron a sus víctimas diez días para realizar la transacción. El rastreo de las billeteras detectadas reveló que los piratas informáticos habían acumulado cerca de 1.3 Bitcoin de rescates, que al tipo de cambio actual es igual a $ 25,000 aproximadamente.

La segunda fase de la campaña introdujo cambios significativos. Las víctimas ya no necesitan establecer comunicación a través de mensajes de correo electrónico. En cambio, los ciberdelincuentes establecieron un sitio web dedicado alojado en la red TOR que contenía un panel interactivo. Los hackers también adoptaron una táctica de dos vertientes. Comprimieron los datos de las víctimas seleccionadas en un archivo zip, los exfiltraron en sus propios servidores y luego procedieron a eliminar la información de las bases de datos comprometidas. Toda la información robada se agregará a una sección de "repositorio" en el sitio web de TOR, donde se subastará para la venta. Un total de 250 000 bases de datos diferentes obtenidas de 83 000 servidores violados se incluyeron en el sitio web de los piratas informáticos con éxito. El precio inicial de cada base de datos es de 0,03 BTC.

El PLEASE_READ_ME Ransomware aún dejó caer una nota de rescate durante la segunda fase de la campaña. Las instrucciones estaban contenidas en una tabla llamada ADVERTENCIA. Según la nota, las víctimas afectadas tienen que pagar la suma de 0.08 BTC si quieren recuperar sus datos robados.

Cabe señalar que la amenaza establece un mecanismo de puerta trasera. Se agrega una nueva entrada de usuario, mysqlbackups '@'% ', a la base de datos comprometida y luego se puede utilizar como un punto de entrada al sistema en cualquier momento en el futuro.

El texto completo contenido en la tabla de ADVERTENCIAS es:

'INSERT INTO `WARNING` (` id, `` warning, `` website, `token`) VALUES (1,' Para recuperar sus bases de datos perdidas y evitar filtrarlas: .... e ingrese su token único ffc7e276a3c7ef27 y pague lo requerido cantidad de Bitcoin para recuperarlo. Bases de datos que tenemos: Sus bases de datos son descargadas y respaldadas en nuestros servidores. Si no recibimos su pago en los próximos 9 días, venderemos su base de datos al mejor postor o la usaremos de otra manera. Para acceder a este sitio debe utilizar el navegador Tor https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'