Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

85000 SQL Server von Please_Read_Me Attacke betroffen!

M.Sc. Chris Wojzechowski

Auch zum Ende des Jahres rücken Cyberkriminelle nicht von ihrem Vorgehen ab und wollen mit der Verschlüsselung von 85000 wohl auch die eigenen Weihnachtskassen füllen. Die Strategie und Funktionsweise der Ransomware „Please_Read_Me“ geht dabei auf. Wer jedoch einen komplexe Angriff sucht, der findet ihn nicht in dieser Schadsoftware.

Mehrere Server, Hunderte Datenbanken sind kompromittiert

Es geht vor allem darum Zugang zu SQL Servern zu erhalten. Mit diesem Schritt erhalten Kriminelle meistens Zugang zu mehreren Datenbanken. Die 85.000 gehackten Server haben über 250.000 Datenbanken offenbart. Die Kriminellen versuchen die Betroffenen zur Zahlung zu motivieren, in dem gedroht wird die vorgefundenen Daten im Darknet zu veröffentlicht. Über diese neue Strategie haben wir bereits berichtet. Diese Art des Angriffes selber ist jedoch nicht neu.

Die Kriminellen haben ca. 24.906 USD mit der Vorgehensweise erwirtschaften können. Kein Vergleich zu GandCrab oder ähnlicher Schadsoftware. Es werden auch lediglich überschaubare 0,08 BTC verlangt. Die Vorgehensweise ist jedoch äußerst simpel – und deshalb sind auch fast 25.000 USD schon zu viel:

  1. Die Kriminellen versuchen sich schlichtweg mit einer Brute-Force Attacke auf den MySQL Service einzuloggen.
  2. Sind sie damit erfolgreich, wird eine Folge von Anfragen ausgelöst um Daten zu sammeln und zu verschlüsseln/ löschen.
  3. Zuvor wurden die Daten als ZIP Archiv gepackt und auf den Server des Angreifers geschoben.
  4. Der letzte Schritt ist es nun die ZIP Datei vom Server des Opfers zu löschen.

Der Name „Please_Read_Me“ stammt von der Datenbank, die die Angreifer erstellt und hinterlegt haben. Die Attacke is einfach, aber gefährlich: Sie ist nämlich fileless. Am Ende einer erfolgreichen Attacken ist es schwer für betroffene festzustellen wer oder was wie lange am Werk war. Um die Durchführung einer professionelle, digitalen Forensik führt kein Weg vorbei.

Erste Phase von Please_Read_Me erfolgreich abgeschlossen. Die zweite läuft!

Bei der ersten Phase, die im Januar 2020 beobachtet werden konnte, ging es vor allem um die Erpressung der verschlüsselten Daten und der direkten Zahlung von Bitcoin an die Angreifer. Im Oktober wurde nun die zweite Phase entdeckt. Dabei wird ein TOR-Service betrieben, auf dem die ZIP-Archive der gehackten Unternehmen liegen.

Wird ein Lösegeld nicht bezahlt, wird die Datei automatisch veröffentlicht. Please_Read_Me ändert also Techniken, Taktiken und Prozeduren (TTPs).


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Was hilft gegen Please_Read_Me?

Vor allem sollte sichergestellt werden, dass die Standardpasswörter der Datenbank nicht einfach zu knacken sind. Aktuelle Zahlen empfehlen mindestens 10 Zeichen. Besonders bei einer MySQL Anwendung sollte das jedoch als absolute Untergrenze verstanden werden.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.