miércoles, 16 de diciembre de 2020

PLEASE_READ_ME: Ataque ransomware devastando MySQL Servers

Ransomware a MySQL Servers
      Según un informe publicado por Guardicore Labs está semana, miles de servidores MySQL vulnerables están siendo atacados por ciberdelincuentes utilizando ransomware para la obtención de datos de la organización como forma de extorsión antes de hacer pública la información.

En este caso, el grupo de ciberdelincuentes están vendiendo acceso a más de 250.000 bases de datos robadas de organizaciones que se han negado a realizar el pago, todo esto a través de un mercado de Dark Web.

La campaña que empezó en enero de este año aun continua activa. Según ha estimado un experto en ciberseguridad, hay alrededor de 5 millones de servidores MySQL expuestos a la Internet pública, hecho que hace que sean posiblemente vulnerables a este u otro tipo de ataque.

Los ataques de PLEASE_READ_ME se pueden dividir en dos fases de ataque distintas, la primera de ellas de enero hasta octubre. En esta primera fase los ciberdelincuentes atacaban el servidor MySQL vulnerable, bloqueaban los datos con ransomware y tras bloquear la información contactaban con la organización víctima con una nota de rescate que contenía lo necesario para la devolución de los datos y una billetera de bitcoin para realizar el pago. Como norma general, este grupo daba 10 días a la víctima para realizar el pago.

Los investigadores de Guardicore Labs realizaron una investigación en la billetera de bitcoin donde los ciberdelincuentes estaban pidiendo el rescate, tras la investigación estimaron que los atacantes generaron alrededor de 25.000 U$S en ganancias.

A partir de octubre comenzó la segunda fase, donde los delincuentes cambiaron la estrategia utilizando una doble extorsión, esto significa que los ciberdelincuentes publican los datos robados como una forma de presionar a la víctima para que realice el pago del rescate. Además, los investigadores han señalado que ya no se realiza el pago directo a una billetera de bitcoin y no es necesario una comunicación vía correo electrónico. En cambio, es colocada una página web en la red Tor anónima donde realizar el pago, las víctimas se identifican con tokens alfanuméricos únicos que reciben en la nota del rescate.

En el sitio web además encontramos todas las bases de datos filtradas por las que no se pagó el rescate. En el sitio web hay alrededor de 250.000 bases de datos diferentes de 83.000 servidores MySQL, un total de 7 TB de datos robados.

Por el momento, desde Guardicore han detectado 29 incidentes con este patrón, se han identificado 7 direcciones IP diferentes en estos ataques. El cambio a la segunda fase a dificultado el seguimiento de los ataques, debido a la imposibilidad de monitorear las carteras de bitcoins. En la segunda fase la cartera bitcoin está escondida detrás de una interfaz de usuario en la web.


No hay comentarios:

Publicar un comentario