Anzeige

MySQL

Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver ins Visier nimmt und mindestens seit Januar 2020 aktiv ist.

Die Malwareless-Attacke „PLEASE_READ_ME“ verwendet ein vergleichsweise simples Angriffsmuster, um schwache Zugangsdaten von MySQL-Servern mit direkter Internetverbindung auszunutzen. Insgesamt wurden sieben TB Daten aus mehr als 250.000 verschiedenen Datenbanken kompromittiert.

Die Ransomware-Kampagne PLEASE_READ_ME verwendet keinen binären Payload – es handelt sich also um eine neuartige Malwareless-Attacke ohne Lateral Movement. Das Forscherteam von Guardicore Labs spricht von automatisierter „Fabrik-Ransomware“, mit der sich ungezielte Massenangriffe durchführen lassen. Die Lösegeldforderungen pro Opfer sind zwar geringer, aber die Zahl infizierter Rechner umso höher. Die Erpresser haben mittlerweile 250.000 Datenbanken von 83.000 erfolgreich komprimittierten Unternehmen zum Kauf angeboten. 

Im Rahmen der Kampagne ist Guardicore Labs auf zwei verschiedene Varianten gestoßen: Von Januar bis November 2020 hinterlegten die Angreifer eine Lösegeldforderung in Höhe von $25.000 mit ihrer Wallet-Adresse (und einer E-Mail-Adresse für technische Unterstützung). In einer zweiten Phase vom 3. Oktober bis zum 30. November 2020 verwiesen die Erpresser ihre Opfer nicht auf das Bitcoin-Wallet oder die E-Mail-Adresse, sondern forderten Unternehmen zu Geldüberweisungen direkt über eine Webseite im TOR-Netzwerk auf.

Kampf gegen Cyberkriminalität

„Die erste Attacke haben wir über unser Guardicore Global Sensors Network (GGSN) bereits am 24. Januar 2020 registriert. Seitdem sind insgesamt 92 Attacken von unseren Sensoren aufgezeichnet worden, deren Anzahl seit Oktober stark zunimmt“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „Die Angriffe wurden von elf unterschiedlichen IP-Adressen ausgeführt, von denen die Mehrzahl aus Irland und Großbritannien stammen. Wir haben die Attacken zu dem Zeitpunkt genauer unter die Lupe genommen, als die Erpresser neben Lösegeldforderungen mit der Veröffentlichung gestohlener Daten begannen, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.“

www.guardicore.com


Artikel zu diesem Thema

Ransomware
Dez 15, 2020

5G und IoT erhöhen die Gefahr durch Ransomware-Angriffe

Der Ausbau des 5G-Netzes und das schnelle Wachstum des Internet der Dinge (IoT) könnten…

Weitere Artikel

Chatbot

Virtuelle Assistenten innerhalb von 72 Stunden einsatzbereit

USU unterstützt Unternehmen künftig durch eine sofort einsetzbare Lösung: Mit dem neuen Quickstart-Angebot profitieren Kunden durch den wirtschaftlichen Produktiv-Einsatz von Chatbots bereits nach 72 Stunden von den Vorteilen intelligenter virtueller…
Verständnis

Bitkom zum Gutachten zur Lage der Verbraucherinnen und Verbraucher

Heute hat der Sachverständigenrat für Verbraucherfragen sein Gutachten zur Lage der Verbraucherinnen und Verbraucher in Deutschland vorgestellt.
Fußabdruck

Frühjahrsputz: Den digitalen Fußabdruck verkleinern

Der Alltag wird immer digitaler, das Internet ist ein fester Bestandteil des Lebens. Menschen hinterlassen dabei viele digitale Fußabdrücke.
Cyber Security

Secure Code – Risiken erkennen, lokalisieren, beheben

Die Potenziale der fortschreitenden Digitalisierung werden parallel durch ein zunehmendes Ausmaß an Schäden aufgrund von Cyberkriminalität bedroht.

Apple Event "Spring Loaded" - was erwartet uns?

Apple stellt neue Produkte wegen der Corona-Pandemie wieder nur bei einem Online-Event vor. Erwartet wird nach Medienberichten am Dienstag (ab 19.00 Uhr MESZ) vor allem ein neues Modell des Tablet-Computers iPad Pro.
Justitia

Das neue Telekommunikationsgesetz wird zur Ausbaubremse

Der Bundestag will in dieser Woche die Novelle des Telekommunikationsgesetztes (TKG) beschließen. Zum aktuellen Gesetzesvorschlag erklärt Bitkom-Präsident Achim Berg:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.