skip to Main Content

Cybercrime: PLEASE_READ_ME, campagna Ransomware in continua evoluzione

di Pierguido Iezzi

PLEASE_READ_ME è una campagna Ransomware in continua evoluzione. Gli esperti di cybersecurity rilevano un aumento di attacchi col malware a partire da ottobre e sfruttano la tecnica della double extortion

PLEASE_READ_ME è una campagna di ransomware, attiva da gennaio 2020, rivolta ai database server MySQL. Il primo attacco sferrato alla rete Guardicore Global Sensors Network (GGSN) è avvenuto il 24 gennaio 2020. Da allora, sono stati segnalati un totale di 92 attacchi, mostrando un forte aumento del loro numero a partire da ottobre. Gli attacchi del cybercrime arrivano da 11 diversi indirizzi IP, la maggior parte dei quali proviene dall’Irlanda e dal Regno Unito. Ciò che ha spinto i ricercatori di cybersecurity Guardicore Labs a monitorare da vicino questa minaccia è l’uso dell’oramai consolidata tecnica della Double Extortion, in cui i dati rubati vengono pubblicati e messi in vendita contemporaneamente così da spingere le vittime a pagare il riscatto.

Gli attacchi PLEASE_READ_ME nel 2020 sono divisi in due fasi

Gli esperti di cybersecurity hanno osservato due diverse varianti di attacco durante lo svolgimento della campagna PLEASE_READ_ME. Nella prima fase, durata da gennaio a fine novembre, gli aggressori hanno lasciato un “biglietto” con l’indirizzo del portafoglio elettronico, l’importo da pagare in Bitcoin e un indirizzo e-mail per il supporto tecnico. Alle vittime sono stati concessi 10 giorni per effettuare il pagamento.  Poiché i portafogli sono stati indicati esplicitamente nelle note di riscatto, è stato possibile esaminarli e scoprire l’importo depositato. Da quanto estrapolato, risulta che un totale di 1,286764090000000001 BTC è stato trasferito su di essi, l’equivalente a 24.906 dollari. I sensori Guardicore hanno catturato 63 attacchi di questo tipo, provenienti da 4 diversi indirizzi IP.

Come funziona la seconda fase, cominciata da ottobre

La seconda fase di PLEASE_READ_ME è iniziata il 3 ottobre e si è protratta fino alla fine di novembre 2020, segnando una netta evoluzione della campagna. Il pagamento non viene più effettuato direttamente sul portafoglio Bitcoin e non sono più necessarie comunicazioni via e-mail. Al contrario, gli aggressori indicano ora l’indirizzo di un sito web nella rete TOR dove è possibile effettuare il pagamento. Le vittime vengono identificate utilizzando token alfanumerici univoci indicati nella richiesta di riscatto. Questo sito esemplifica chiaramente il doppio meccanismo dell’estorsione: contiene tutte le banche dati sottratte per le quali non è stato pagato il riscatto e al contempo offre i termini e le coordinate per il pagamento. Il sito web elenca 250mila database diversi provenienti da 83mila server MySQL, con 7 TB di dati rubati. Finora, GGSN ha riscontrato 29 casi di questo tipo di attacco, provenienti da 7 indirizzi IP.

L’evoluzione della campagna e delle strategie di riscatto

Questa fase segna un’evoluzione della campagna in diversi sensi:

  • In primo luogo, la mappatura tra la vittima e il suo database rubato viene ora effettuata automaticamente, con un token univoco, e non comporta una lunga e laboriosa ricerca attraverso gli IP e i domini per trovare il database giusto.
  • Inoltre, il “deposito” di tutte le banche dati rubate si trova in un punto solo, aperto all’accesso pubblico – le vittime possono così vedere le loro banche dati sulla lista ed essere spinte a pagare il riscatto.
  • Infine, il sito web offre un’esperienza più agevole alla vittima e crea anche una maggiore fiducia tra la vittima e gli aggressori, poiché vengono forniti i dettagli della banca dati, aumentando la percezione di “autorevolezza” del Criminal Hacker.

Svolgimento dell’attacco

L’attacco inizia un brute forcing delle password dei server MySQL. Una volta portato a segno tale attacco, l’aggressore esegue una sequenza di query nella banca dati, raccogliendo dati sulle tabelle e sugli utenti esistenti. Al termine di tale query i dati della vittima sono compromessi e sottratti – vengono archiviati in un file zippato che viene inviato ai server dell’aggressore e poi cancellato dalla banca dati. In una tabella denominata WARNING viene lasciata una nota di riscatto che richiede il pagamento di una cifra variabile con valore massimo riscontrato finora di 0,08 BTC. Inoltre, viene aggiunto un utente backdoor mysqlbackups’@’%’ per permettere agli aggressori di accedere anche in futuro al server compromesso.

Le tante forme degli attacchi Ransomware

Alcune campagne di riscatto sono molto mirate, pianificate in anticipo per mesi e poi eseguite in modo impeccabile. Si tratta di campagne gestite dai gruppi di APT. I Criminal hacker irrompono nella rete, eseguono movimenti laterali per infettare più asset, criptare dati preziosi e infine chiedere un riscatto per il ripristino. Altre campagne sono di natura opportunistica. Queste campagne sono di solito automatiche, il che significa che sono eseguite da uno script invece che da un essere umano. In questo secondo caso non sono previste le fasi di raccolta di informazioni e di ricognizione. Questa caratteristica consente a tali campagne di infettare un grandissimo numero di server, fra i quali è possibile trovare dati importanti, erroneamente collegati a Internet.

La campagna PLEASE_READ_ME fa parte della seconda tipologia di attacchi

La campagna oggetto di questo articolo rientra nella seconda casistica a causa dei seguenti elementi:

  • Non è mirata, ovvero tenta di infettare uno qualsiasi dei 5 milioni di server MySQL che sono connessi Internet.
  • È transitoria, non spreca tempo. Rimane nel server solo per completare l’attacco vero e proprio. Senza alcun movimento laterale, l’attacco inizia e finisce all’interno della banca dati MySQL stessa.
  • È semplice. Non vi sono payload secondari nella catena di attacco. Ecco perché questo l’attacco può definirsi privo di malware. Si tratta di un semplice script che irrompe nella banca dati, ruba informazioni e lascia un messaggio.

Le menti criminali che stanno dietro agli attacchi PLEASE_READ_ME cercano di alzare la posta in gioco utilizzando un doppio canale di estorsione. All’interno degli archivi di Guardicore Labs è possibile consultare gli IoC per avere tutta la documentazione tecnica aggiornata.

Non abbassiamo la guardia!

 

Back To Top