Une campagne de ransomware sans malware ciblant plusieurs millions de bases de données MySQL accessibles en ligne a été découverte par les chercheurs de Guardicore Labs. Cette campagne dure depuis un an.

Cette campagne, appelée PLEASE_READ_ME, en cours depuis Janvier 2020 a utilisé une chaine d’attaque « extrêmement simple » afin de mener au moins 92 attaques distinctes au cours de l’an dernier, avec une augmentation importante du volume depuis le mois d’Octobre. Il a été remarqué que les opérateurs n’utilisent pas de charge utile réelle de ransomware dans leurs attaques. Cette campagne commence tout d’abord par forcer les protocoles de mots de passe faibles pour les bases de données MySQL, puis par la collecte de données sur les tables ainsi que les utilisateurs existants avant d’installer une porte dérobée cachée en sortant pour faciliter les prochaines intrusions.

Deux autres versions distinctes de cette campagne ont aussi été repérées par Guardicore Labs. La première, entre le mois de Janvier et Novembre 2020, a composé environ les deux tiers des attaques observées et consistait à laisser une note de rançon avec une adresse de portefeuille Bitcoin, une demande de rançon, une adresse e-mail pour le support technique ainsi qu’un délai de paiement de 10 jours. Quant à la seconde variante, celle-ci s’est déroulé entre le mois d’Octobre et de Novembre, et s’effectue en utilisant un site web caché derrière un routeur Tor permettant de simplifier le paiement de la rançon et accorde aux victimes un jeton alphanumérique afin de confirmer leur identité et lier le paiement à leur organisation.

Contrairement à plusieurs campagnes de ransomwares, il ne s’agit pas d’un exemple de chasse au gros gibier qui implique une reconnaissance complexe d’une organisation ou d’un secteur cible, mais plutôt d’une opération largement automatisée qui ne sait pas qui elle frappe et qui gagne de l’argent en plus petits morceaux en attaquant autant de bases de données MySQL sur 5 millions que possible.