MySQL-databaser, der scannes for infektion af GandCrab Ransomware

En dedikeret gruppe hackere kører en ret forenklet, men vedvarende søgning efter MySQL-databaser. Sårbare databaser er derefter målrettet til installation af ransomware. MySQL-serveradministratorer, der har brug for fjernadgang til deres databaser, skal være ekstra forsigtige.

Hackere kører en jævn søgning på internettet. Disse hackere, der menes at være placeret i Kina, leder efter Windows-servere, der kører MySQL-databaser. Gruppen planlægger åbenbart at inficere disse systemer med GandCrab ransomware.

Ransomware er sofistikeret software, der låser den sande ejer af filerne og kræver betaling for at sende på tværs af en digital nøgle. Det er interessant at bemærke, at cybersikkerhedsfirmaer indtil nu ikke har set nogen trusselsaktør, der har angrebet MySQL-servere, der kører på Windows-systemer, især for at inficere dem med ransomware. Med andre ord er det ualmindeligt, at hackere leder efter sårbare databaser eller servere og installerer ondsindet kode. Den almindelige praksis, der almindeligvis observeres, er et systematisk forsøg på at stjæle data, mens man prøver at undgå afsløring.

Det seneste forsøg på at kravle over internettet på udkig efter sårbare MySQL-databaser, der kører på Windows-systemer, blev afdækket af Andrew Brandt, hovedforsker hos Sophos. Ifølge Brandt synes hackere at scanne efter internetadgang til MySQL-databaser, der accepterer SQL-kommandoer. Søgeparametrene kontrollerer, om systemerne kører Windows OS. Efter at have fundet et sådant system bruger hackere derefter ondsindede SQL-kommandoer til at plante en fil på de eksponerede servere. Når infektionen, når den er vellykket, bruges på et senere tidspunkt til at være vært for GandCrab ransomware.

Disse seneste forsøg vedrører, fordi Sophos-forskeren formåede at spore dem tilbage til en fjernserver, der måske bare er en af ​​flere. Åbenbart havde serveren en åben mappe, der kørte serversoftware kaldet HFS, som er en type HTTP-filserver. Softwaren tilbød statistik for angriberens ondsindede nyttelast.

Brandt sagde uddybende om resultaterne, ”Serveren ser ud til at angive mere end 500 downloads af den prøve, jeg så MySQL-honeypot-download (3306-1.exe). Prøverne med navnet 3306-2.exe, 3306-3.exe og 3306-4.exe er dog identiske med den fil. Talt sammen har der været næsten 800 downloads i de fem dage, siden de blev placeret på denne server, samt mere end 2300 downloads af den anden (ca. en uges ældre) GandCrab-prøve i den åbne bibliotek. Så selvom dette ikke er et særligt massivt eller udbredt angreb, udgør det en alvorlig risiko for MySQL-serveradministratorer, der har stukket et hul gennem firewallen til port 3306 på deres databaseserver for at kunne nås af omverdenen ”

Det er betryggende at bemærke, at erfarne MySQL-serveradministratorer sjældent konfigurerer deres servere forkert, eller værst, efterlader deres databaser uden adgangskoder. Imidlertid, sådanne tilfælde er ikke ualmindelige. Formålet med de vedvarende scanninger ser tilsyneladende ud til den opportunistiske udnyttelse af fejlkonfigurerede systemer eller databaser uden adgangskoder.

Facebook Twitter Google Plus Pinterest
Anbefalet
Sådan løses Twitch konstant buffering af fejl på Windows?
Sådan løses Twitch konstant buffering af fejl på Windows?
Android
NVIDIA Next-Gen Ampere-Baseret GeForce GPU Lavet af Samsung På 10nm Node, indikerer massiv lækage
NVIDIA Next-Gen Ampere-Baseret GeForce GPU Lavet af Samsung På 10nm Node, indikerer massiv lækage
Hvordan
Sådan deaktiveres Prøv Edge og andre Microsoft Edge Notifications
Sådan deaktiveres Prøv Edge og andre Microsoft Edge Notifications
Hvordan
Sådan løser du Windows Live Photo Gallery Error 0X8007000b
Sådan løser du Windows Live Photo Gallery Error 0X8007000b
Hvordan
Tilmeld