Según un informe publicado por Guardicore Labs está semana,
miles de servidores MySQL vulnerables están siendo atacados por
ciberdelincuentes utilizando ransomware para la obtención de datos de la
organización como forma de extorsión antes de hacer pública la información.
En este caso, el grupo de ciberdelincuentes están vendiendo
acceso a más de 250.000 bases de datos robadas de organizaciones que se han
negado a realizar el pago, todo esto a través de un mercado de Dark Web.
La campaña que empezó en enero de este año aun continua
activa. Según ha estimado un experto en ciberseguridad, hay alrededor de 5
millones de servidores MySQL expuestos a la Internet pública, hecho que hace
que sean posiblemente vulnerables a este u otro tipo de ataque.
Los ataques de PLEASE_READ_ME se pueden dividir en dos fases
de ataque distintas, la primera de ellas de enero hasta octubre. En esta primera
fase los ciberdelincuentes atacaban el servidor MySQL vulnerable, bloqueaban
los datos con ransomware y tras bloquear la información contactaban con la
organización víctima con una nota de rescate que contenía lo necesario para la
devolución de los datos y una billetera de bitcoin para realizar el pago. Como
norma general, este grupo daba 10 días a la víctima para realizar el pago.
Los investigadores de Guardicore Labs realizaron una
investigación en la billetera de bitcoin donde los ciberdelincuentes estaban pidiendo
el rescate, tras la investigación estimaron que los atacantes generaron
alrededor de 25.000 U$S en ganancias.
A partir de octubre comenzó la segunda fase, donde los
delincuentes cambiaron la estrategia utilizando una doble extorsión, esto
significa que los ciberdelincuentes publican los datos robados como una forma
de presionar a la víctima para que realice el pago del rescate. Además, los investigadores
han señalado que ya no se realiza el pago directo a una billetera de bitcoin y
no es necesario una comunicación vía correo electrónico. En cambio, es colocada
una página web en la red Tor anónima donde realizar el pago, las víctimas se
identifican con tokens alfanuméricos únicos que reciben en la nota del rescate.
En el sitio web además encontramos todas las bases de datos
filtradas por las que no se pagó el rescate. En el sitio web hay alrededor de
250.000 bases de datos diferentes de 83.000 servidores MySQL, un total de 7 TB
de datos robados.
Por el momento, desde Guardicore han detectado 29 incidentes
con este patrón, se han identificado 7 direcciones IP diferentes en estos
ataques. El cambio a la segunda fase a dificultado el seguimiento de los
ataques, debido a la imposibilidad de monitorear las carteras de bitcoins. En
la segunda fase la cartera bitcoin está escondida detrás de una interfaz de
usuario en la web.