Anzeige

MySQL

Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver ins Visier nimmt und mindestens seit Januar 2020 aktiv ist.

Die Malwareless-Attacke „PLEASE_READ_ME“ verwendet ein vergleichsweise simples Angriffsmuster, um schwache Zugangsdaten von MySQL-Servern mit direkter Internetverbindung auszunutzen. Insgesamt wurden sieben TB Daten aus mehr als 250.000 verschiedenen Datenbanken kompromittiert.

Die Ransomware-Kampagne PLEASE_READ_ME verwendet keinen binären Payload – es handelt sich also um eine neuartige Malwareless-Attacke ohne Lateral Movement. Das Forscherteam von Guardicore Labs spricht von automatisierter „Fabrik-Ransomware“, mit der sich ungezielte Massenangriffe durchführen lassen. Die Lösegeldforderungen pro Opfer sind zwar geringer, aber die Zahl infizierter Rechner umso höher. Die Erpresser haben mittlerweile 250.000 Datenbanken von 83.000 erfolgreich komprimittierten Unternehmen zum Kauf angeboten. 

Im Rahmen der Kampagne ist Guardicore Labs auf zwei verschiedene Varianten gestoßen: Von Januar bis November 2020 hinterlegten die Angreifer eine Lösegeldforderung in Höhe von $25.000 mit ihrer Wallet-Adresse (und einer E-Mail-Adresse für technische Unterstützung). In einer zweiten Phase vom 3. Oktober bis zum 30. November 2020 verwiesen die Erpresser ihre Opfer nicht auf das Bitcoin-Wallet oder die E-Mail-Adresse, sondern forderten Unternehmen zu Geldüberweisungen direkt über eine Webseite im TOR-Netzwerk auf.

Kampf gegen Cyberkriminalität

„Die erste Attacke haben wir über unser Guardicore Global Sensors Network (GGSN) bereits am 24. Januar 2020 registriert. Seitdem sind insgesamt 92 Attacken von unseren Sensoren aufgezeichnet worden, deren Anzahl seit Oktober stark zunimmt“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „Die Angriffe wurden von elf unterschiedlichen IP-Adressen ausgeführt, von denen die Mehrzahl aus Irland und Großbritannien stammen. Wir haben die Attacken zu dem Zeitpunkt genauer unter die Lupe genommen, als die Erpresser neben Lösegeldforderungen mit der Veröffentlichung gestohlener Daten begannen, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.“

www.guardicore.com


Artikel zu diesem Thema

Ransomware
Dez 15, 2020

5G und IoT erhöhen die Gefahr durch Ransomware-Angriffe

Der Ausbau des 5G-Netzes und das schnelle Wachstum des Internet der Dinge (IoT) könnten…

Weitere Artikel

RIP Grabstein

Best of Hacks: Highlights August 2021

Im August 2021 haben Cyberkriminelle bei PolyNetwork und Liquid gezielt Kryptowährungen erbeutet. Personenbezogene Daten wurden unter anderem vom Terrorist Screening Center des FBI und von Journalistinnen und Aktivistinnen im Nahen Osten erbeutet.
Kamera - Sicherheit

Alle sollen sich viel mehr um IT-Sicherheit kümmern

Nach Cyberangriffen wird im Nordosten nur in wenigen Fällen Lösegeld gezahlt. Bis auf einen Fall sei ihm bisher kein Unternehmen oder eine Verwaltung bekannt, die in diesem Jahr Lösegeld gezahlt hätte, sagte der Rostocker Oberstaatsanwalt Harald Nowack am…
Impfzertifikat

Das Geschäft mit gefälschten digitalen Impfzertifikaten

Die gefälschten digitalen Impfzertifikate, die derzeit mit gültigen Signaturen im Internet kursieren, könnten nach Einschätzung von Experten auf Sicherheitslücken in Arztpraxen oder Apotheken zurückzuführen sein.
Browser

Browsing: Nutzer besuchen nur 30 Websites

Trotz Millionen Websites verbringt ein Großteil der Nutzer seine Zeit auf gerade einmal einem Prozent der Top-Internetadressen.
Retoure

Onlinehändler erhalten jede siebte Bestellung zurück

Sie sorgen für mehr Verpackungsmüll, zusätzliche Kosten und belasten die Umwelt: Retouren beim Online-Shopping.
Google

Google löscht Bilder von Minderjährigen

Google löscht auf Wunsch bereits veröffentlichte Bilder von Minderjährigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.