Los delincuentes informáticos están apuntando a miles de servidores MySQL vulnerables en todo el mundo, utilizando ransomware para exfiltrar datos de las organizaciones como una forma de exigir el pago antes de hacer pública la información, según un informe publicado por Guardicore Labs.
Además de la campaña de ransomware y extorsión,cuando las víctimas no pagan, los delincuentes están vendiendo acceso a más de 250.000 bases de datos robadas a través de un mercado de Dark Web.
La campaña parece haber comenzado en enero y actualmente está activa. Un investigador de seguridad, estima que alrededor de 5 millones de servidores MySQL están expuestos a la Internet pública y son potencialmente vulnerables a este u otro tipo de ataque.
Los ataques ocurrieron en dos fases separadas durante los últimos 12 meses. En la primera fase, que comenzó en enero y duró hasta octubre, los delincuentes atacaron un servidor MySQL vulnerable, bloquearon los datos con ransomware y luego contactaron a la organización víctima con una nota de rescate y una dirección de billetera bitcoin a la que se podía enviar el pago. Por lo general, a las víctimas se les daba 10 días para pagar.
Al rastrear la actividad de la billetera bitcoin utilizada por los delincuentes, los investigadores de Guardicore Labs estiman que los atacantes generaron alrededor de U$S 25.000 en ganancias ilícitas de alrededor de 70 atacantes separados que usaron esta táctica.
En octubre, sin embargo, losdelincuentes cambiaron de táctica y comenzaron a utilizar una técnica de doble extorsión, lo que significa que los datos se publican como una forma de presionar a las víctimas para que pagaran el rescate. Los investigadores también señalan que el pago ya no se realiza directamente en la billetera bitcoin y no se necesitan comunicaciones por correo electrónico. En cambio, los atacantes colocan un sitio web en la red Tor anónima donde se puede realizar el pago, y las víctimas se identifican utilizando tokens alfanuméricos únicos que reciben en la nota de rescate.
El sitio web es un buen ejemplo de un mecanismo de doble extorsión: contiene todas las bases de datos filtradas por las que no se pagó el rescate. El sitio web enumera 250.000 bases de datos diferentes de 83.000 servidores MySQL, con 7 TB de datos robados.
Hasta ahora, Guardicore detectó 29 incidentes con esta variante, originados en 7 direcciones IP diferentes. Este cambio de táctica ha dificultado el seguimiento de los ataques. En la primera fase, se podía monitorear las carteras de bitcoins. En cuanto a la segunda fase, no podemos monitorear la cantidad de dinero que se gana, ya que el pago se realiza «detrás de escena» utilizando la interfaz de usuario del sitio web. No se exponen direcciones de billetera bitcoin en este proceso.
PLEASE_READ_ME
Los investigadores también señalan que el tipo de ransomware utilizado por los delincuentes es notable por su simplicidad y enfoque. A diferencia de otros ransomware que tienden a moverse lateralmente a través de una red en busca de archivos y datos para cifrar, el código malicioso utilizado en PLEASE_READ_ME se concentra en los servidores MySQL vulnerables y cifra los datos.
Para empezar, los atacantes simplemente intentan forzar contraseñas débiles para obtener acceso en lugar de depender de correos electrónicos de phishing u otros medios como vector de ataque inicial. No hay malware real en este ataque, es decir, no hay carga útil binaria ejecutada en la máquina víctima. El ataque se basa en un simple script que realiza fuerza bruta a los servidores de bases de datos, roba datos y deja una nota de rescate mediante la ejecución de comandos SQL.
Nos referimos a esta campaña como «malwareless», porque prácticamente no se ejecuta ningún archivo de malware en las víctimas comprometidas. El informe señala que los atacantes intentan instalar una puerta trasera en el servidor MySQL vulnerable en caso de que quieran regresar o mantener la persistencia.
¿Atribución?
En este momento, los analistas no pueden atribuir estos ataques a ningún grupo de hacking en particular. El informe señala que la mayoría de los ataques se originan en direcciones IP con sede en el Reino Unido e Irlanda. Lo que también hace que este tipo de ataques tenga éxito es que millones de servidores MySQL están expuestos a Internet y contienen contraseñas débiles.
Cinco millones de servidores MySQL en todo el mundo están conectados a Internet. Lo que permite que se produzca el ataque PLEASE_READ_ME es el hecho de que innumerables servidores MySQL están conectados a Internet y que sus contraseñas son fáciles de adivinar.
Las bases de datos no deben estar expuestas a Internet; deben protegerse simplemente por ser internas a la red de la organización y ser accesibles solo para un conjunto limitado de clientes.