PLEASE_READ_ME Ransomware

Le PLEASE_READ_ME Ransomware est une menace puissante déployée dans une campagne menaçante en cours qui est active depuis janvier 2020. Les pirates utilisent des tactiques de force brute pour compromettre les serveurs MySQL avec des informations d'identification faibles. Il y a environ 5 millions de serveurs qui peuvent devenir potentiellement victimes de la campagne.

La campagne PLEASE_READ_ME peut être séparée en deux phases distinctes. Le premier a eu lieu entre janvier et novembre 2020. Il présentait les caractéristiques d'une opération typique de ransomware. Les serveurs ciblés ont été compromis, les bases de données étaient cryptées et la menace a laissé une note de rançon avec des instructions. Les victimes ont été invitées à envoyer une quantité spécifique de bitcoins à une adresse de portefeuille cryptographique fournie dans la note et à contacter une adresse e-mail également trouvée dans la note pour plus de détails. Les criminels ont donné à leurs victimes dix jours pour effectuer la transaction. Le traçage des portefeuilles détectés a révélé que les pirates avaient amassé près de 1,3 Bitcoin à partir de rançons, ce qui au taux de change actuel est égal à 25000 dollars environ.

La deuxième phase de la campagne a introduit des changements importants. Les victimes n'avaient plus besoin d'établir une communication par e-mail. Au lieu de cela, les cybercriminels ont créé un site Web dédié hébergé sur le réseau TOR qui contenait un tableau de bord interactif. Les hackers ont également adopté une tactique à deux volets. Ils ont compressé les données des victimes sélectionnées dans une archive zip, les ont exfiltrées sur leurs propres serveurs, puis ont procédé à la suppression des informations des bases de données compromises. Toutes les informations volées seront ensuite ajoutées à une section «référentiel» sur le site Web de TOR, où elles seront mises aux enchères pour la vente. Un total de 250 000 bases de données différentes obtenues à partir de 83 000 serveurs piratés ont été répertoriés avec succès sur le site Web des pirates. Le prix de départ de chaque base de données est de 0,03 BTC.

Le PLEASE_READ_ME Ransomware a tout de même laissé tomber une note de rançon au cours de la deuxième phase de la campagne. Les instructions étaient contenues dans un tableau nommé AVERTISSEMENT. Selon la note, les victimes affectées doivent payer la somme de 0,08 BTC si elles veulent récupérer leurs données volées.

Il convient de noter que la menace établit un mécanisme de porte dérobée. Une nouvelle entrée utilisateur - mysqlbackups '@'% ', est ajoutée à la base de données compromise et peut ensuite être utilisée comme point d'entrée dans le système à tout moment dans le futur.

Le texte complet contenu dans le tableau AVERTISSEMENT est:

'INSERT INTO `WARNING` (` id, `warning,` website, `token`) VALUES (1,' Pour récupérer vos bases de données perdues et éviter de les fuir:…. Et entrez votre jeton unique ffc7e276a3c7ef27 et payez le montant requis quantité de Bitcoin pour le récupérer. Bases de données dont nous disposons: Vos bases de données sont téléchargées et sauvegardées sur nos serveurs. Si nous ne recevons pas votre paiement dans les 9 prochains jours, nous vendrons votre base de données au plus offrant ou les utiliserons autrement. Pour accéder à ce site, vous avez utilisé le navigateur tor https://www.torproject.org/projects/torbrowser.html ',' http://hn4wg4o6s5nc7763.onion ',' ffc7e276a3c7ef27 ');'