Offensive Services

85000 SQL Server von Please_Read_Me Attacke betroffen!

Aktualisiert am

Auch zum Ende des Jahres rücken Cyberkriminelle nicht von ihrem Vorgehen ab und wollen mit der Verschlüsselung von 85000 wohl auch die eigenen Weihnachtskassen füllen. Die Strategie und Funktionsweise der Ransomware “Please_Read_Me” geht dabei auf. Wer jedoch einen komplexe Angriff sucht, der findet ihn nicht in dieser Schadsoftware.

Mehrere Server, Hunderte Datenbanken sind kompromittiert

Es geht vor allem darum Zugang zu SQL Servern zu erhalten. Mit diesem Schritt erhalten Kriminelle meistens Zugang zu mehreren Datenbanken. Die 85.000 gehackten Server haben über 250.000 Datenbanken offenbart. Die Kriminellen versuchen die Betroffenen zur Zahlung zu motivieren, in dem gedroht wird die vorgefundenen Daten im Darknet zu veröffentlicht. Über diese neue Strategie haben wir bereits berichtet. Diese Art des Angriffes selber ist jedoch nicht neu.

Die Kriminellen haben ca. 24.906 USD mit der Vorgehensweise erwirtschaften können. Kein Vergleich zu GandCrab oder ähnlicher Schadsoftware. Es werden auch lediglich überschaubare 0,08 BTC verlangt. Die Vorgehensweise ist jedoch äußerst simpel – und deshalb sind auch fast 25.000 USD schon zu viel:

  1. Die Kriminellen versuchen sich schlichtweg mit einer Brute-Force Attacke auf den MySQL Service einzuloggen.
  2. Sind sie damit erfolgreich, wird eine Folge von Anfragen ausgelöst um Daten zu sammeln und zu verschlüsseln/ löschen.
  3. Zuvor wurden die Daten als ZIP Archiv gepackt und auf den Server des Angreifers geschoben.
  4. Der letzte Schritt ist es nun die ZIP Datei vom Server des Opfers zu löschen.

Der Name “Please_Read_Me” stammt von der Datenbank, die die Angreifer erstellt und hinterlegt haben. Die Attacke is einfach, aber gefährlich: Sie ist nämlich fileless. Am Ende einer erfolgreichen Attacken ist es schwer für betroffene festzustellen wer oder was wie lange am Werk war. Um die Durchführung einer professionelle, digitalen Forensik führt kein Weg vorbei.

Erste Phase von Please_Read_Me erfolgreich abgeschlossen. Die zweite läuft!

Bei der ersten Phase, die im Januar 2020 beobachtet werden konnte, ging es vor allem um die Erpressung der verschlüsselten Daten und der direkten Zahlung von Bitcoin an die Angreifer. Im Oktober wurde nun die zweite Phase entdeckt. Dabei wird ein TOR-Service betrieben, auf dem die ZIP-Archive der gehackten Unternehmen liegen.

Wird ein Lösegeld nicht bezahlt, wird die Datei automatisch veröffentlicht. Please_Read_Me ändert also Techniken, Taktiken und Prozeduren (TTPs).

Was hilft gegen Please_Read_Me?

Vor allem sollte sichergestellt werden, dass die Standardpasswörter der Datenbank nicht einfach zu knacken sind. Aktuelle Zahlen empfehlen mindestens 10 Zeichen. Besonders bei einer MySQL Anwendung sollte das jedoch als absolute Untergrenze verstanden werden.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.