85000 SQL Server von Please_Read_Me Attacke betroffen!

Auch zum Ende des Jahres rücken Cyberkriminelle nicht von ihrem Vorgehen ab und wollen mit der Verschlüsselung von 85000 wohl auch die eigenen Weihnachtskassen füllen. Die Strategie und Funktionsweise der Ransomware „Please_Read_Me“ geht dabei auf. Wer jedoch einen komplexe Angriff sucht, der findet ihn nicht in dieser Schadsoftware.


Mehrere Server, Hunderte Datenbanken sind kompromittiert

Es geht vor allem darum Zugang zu SQL Servern zu erhalten. Mit diesem Schritt erhalten Kriminelle meistens Zugang zu mehreren Datenbanken. Die 85.000 gehackten Server haben über 250.000 Datenbanken offenbart. Die Kriminellen versuchen die Betroffenen zur Zahlung zu motivieren, in dem gedroht wird die vorgefundenen Daten im Darknet zu veröffentlicht. Über diese neue Strategie haben wir bereits berichtet. Diese Art des Angriffes selber ist jedoch nicht neu.

Die Kriminellen haben ca. 24.906 USD mit der Vorgehensweise erwirtschaften können. Kein Vergleich zu GandCrab oder ähnlicher Schadsoftware. Es werden auch lediglich überschaubare 0,08 BTC verlangt. Die Vorgehensweise ist jedoch äußerst simpel – und deshalb sind auch fast 25.000 USD schon zu viel:

  1. Die Kriminellen versuchen sich schlichtweg mit einer Brute-Force Attacke auf den MySQL Service einzuloggen.
  2. Sind sie damit erfolgreich, wird eine Folge von Anfragen ausgelöst um Daten zu sammeln und zu verschlüsseln/ löschen.
  3. Zuvor wurden die Daten als ZIP Archiv gepackt und auf den Server des Angreifers geschoben.
  4. Der letzte Schritt ist es nun die ZIP Datei vom Server des Opfers zu löschen.

Der Name „Please_Read_Me“ stammt von der Datenbank, die die Angreifer erstellt und hinterlegt haben. Die Attacke is einfach, aber gefährlich: Sie ist nämlich fileless. Am Ende einer erfolgreichen Attacken ist es schwer für betroffene festzustellen wer oder was wie lange am Werk war. Um die Durchführung einer professionelle, digitalen Forensik führt kein Weg vorbei.




Erste Phase von Please_Read_Me erfolgreich abgeschlossen. Die zweite läuft!

Bei der ersten Phase, die im Januar 2020 beobachtet werden konnte, ging es vor allem um die Erpressung der verschlüsselten Daten und der direkten Zahlung von Bitcoin an die Angreifer. Im Oktober wurde nun die zweite Phase entdeckt. Dabei wird ein TOR-Service betrieben, auf dem die ZIP-Archive der gehackten Unternehmen liegen.

Wird ein Lösegeld nicht bezahlt, wird die Datei automatisch veröffentlicht. Please_Read_Me ändert also Techniken, Taktiken und Prozeduren (TTPs).

Was hilft gegen Please_Read_Me?

Vor allem sollte sichergestellt werden, dass die Standardpasswörter der Datenbank nicht einfach zu knacken sind. Aktuelle Zahlen empfehlen mindestens 10 Zeichen. Besonders bei einer MySQL Anwendung sollte das jedoch als absolute Untergrenze verstanden werden.