Pesquisadores estão alertando sobre uma campanha de ransomware ativa que visa servidores de banco de dados MySQL. O ransomware é chamado PLEASE_READ_ME e até agora violou pelo menos 83 mil servidores em todo o mundo, publicando 250 mil bancos de dados roubados em um site para venda, segundo o Guardicore Labs.
Os pesquisadores destacam que a campanha data de pelo menos janeiro de 2020 e conta com uma cadeia de ataque extremamente simples, explorando credenciais fracas em servidores MySQL voltados para a Internet – são cerca de 5 milhões de servidores MySQL voltados para a Internet em todo o mundo.
O primeiro ataque à Rede de Sensores Globais da Guardicore (GGSN) foi capturado em 24 de janeiro de 2020. Desde então, um total de 92 ataques foram relatados, mostrando um aumento acentuado em seu número desde outubro. Os ataques têm origem em 11 endereços IP diferentes, a maioria localizada na Irlanda e no Reino Unido.
Segundo o Guardicore Labs, os atacantes deixam um usuário backdoor no banco de dados para persistência, permitindo que eles acessem novamente a rede. Duas variantes da campanha foram testemunhadas pelos pesquisadores, que oferecem detalhes neste post. Eles afirmam ainda que a monetização da campanha evoluiu para uma tentativa de extorsão dupla, por meio de publicação e oferta de dados para venda para pressionar as vítimas a pagarem o resgate.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.