Các nhà nghiên cứu tại Phòng thí nghiệm Guardicore đã phát hiện ra một chiến dịch ransomware độc hại kéo dài một năm nhắm mục tiêu hàng triệu cơ sở dữ liệu MySQL trên internet.
Chiến dịch được các nhà nghiên cứu đặt tên là PLEASE_READ_ME đã diễn ra từ tháng 1 năm 2020 và đã sử dụng một chuỗi tấn công “cực kỳ đơn giản” để thực hiện ít nhất 92 cuộc tấn công riêng biệt trong năm qua, với số lượng tăng mạnh kể từ tháng 10.
Điều thú vị là hacker dường như không sử dụng ransomware thực tế nào trong các cuộc tấn công của họ. Nó bắt đầu bằng cách tấn công mật khẩu yếu (brute forcing weak password) cho cơ sở dữ liệu MySQL, tiếp theo là thu thập dữ liệu trên các bảng và người dùng hiện có trước khi cài đặt một cửa hậu ẩn (hidden backdoor) trên đường thoát ra ngoài để tạo điều kiện cho các cuộc đột nhập trong tương lai.
Ophir Harpaz và Omri Marom cho biết: “Khi kết thúc quá trình thực thi, dữ liệu của nạn nhân sẽ biến mất – nó được lưu trữ trong một tệp nén được gửi tới máy chủ của những kẻ tấn công và sau đó bị xóa khỏi cơ sở dữ liệu”.
Guardicore Labs cũng phát hiện ra hai phiên bản khác nhau của chiến dịch này. Vụ đầu tiên, từ tháng 1 đến tháng 11 năm 2020, bao gồm khoảng 2/3 các cuộc tấn công được quan sát và liên quan đến việc để lại thông báo tiền chuộc có địa chỉ ví Bitcoin, yêu cầu tiền chuộc, địa chỉ email để hỗ trợ kỹ thuật và thời hạn thanh toán là 10 ngày. Tuy nhiên, khi để lại những đường dẫn đó, các hacker đã giúp các nhà nghiên cứu có thể xem xét ví Bitcoin của họ và kiểm tra xem có bao nhiêu tiền đã được chuyển vào đó. Cuối cùng, họ đã truy tìm được gần 25.000 đô la thanh toán từ bốn địa chỉ IP riêng biệt.
Biến thể thứ hai, chạy trong suốt tháng 10 và tháng 11, sử dụng một trang web ẩn sau bộ định tuyến Tor (Tor router) để tạo điều kiện thanh toán tiền chuộc và cung cấp cho nạn nhân mã thông báo chữ và số để xác nhận danh tính và liên kết thanh toán với tổ chức của họ. Phiên bản này không cung cấp ví Bitcoin hoặc email của hacker, thay vào đó dựa vào “trang tổng quan chính thức nơi nạn nhân có thể cung cấp mã thông báo của họ và thực hiện thanh toán”.
Để nhắc nhở và cảnh báo những người bị xâm nhập về hậu quả của việc không trả tiền, nó cũng liệt kê hơn 250.000 cơ sở dữ liệu từ 83.000 máy chủ MySQL và 77 terabyte dữ liệu bị rò rỉ từ những người từ chối đáp ứng yêu cầu tiền chuộc. Ngoài ra còn có một phần “Đấu giá” riêng biệt, nơi khách truy cập có thể mua cơ sở dữ liệu với giá 0,03 Bitcoin hoặc khoảng 541 đô la theo tỷ lệ chuyển đổi hiện tại sang đô la Mỹ.
Biến thể thứ hai này hợp lý hóa quy trình thanh toán, để lại ít đường dẫn hơn cho các nhà điều tra theo dõi và cho phép hacker dễ dàng liên kết cơ sở dữ liệu bị đánh cắp với tổ chức nạn nhân thông qua mã chữ và số.
Không giống như nhiều chiến dịch ransomware thường nhắm vào các tổ chức hoặc mục tiêu cụ thể. Thay vào đó, đó là một hoạt động phần lớn là tự động, tấn công 5 triệu cơ sở dữ liệu MySQL sử dụng internet càng nhiều càng tốt.
“Các chiến dịch tấn công kiểu này không có mục tiêu. Họ không quan tâm đến danh tính hoặc nạn nhân thế nào, và dẫn đến quy mô lớn hơn nhiều so với quy mô của các cuộc tấn công có chủ đích, ”Harpaz và Marom viết. “Hãy coi nó là‘ Factory Ransomware ’- những kẻ tấn công thực hiện cuộc tấn công, kiếm ít tiền hơn cho mỗi nạn nhân nhưng tính theo số lượng máy bị nhiễm.”
Theo scmagazine
