MySQL-databaser, der scannes for infektion af GandCrab Ransomware
En dedikeret gruppe hackere kører en ret forenklet, men vedvarende søgning efter MySQL-databaser. Sårbare databaser er derefter målrettet til installation af ransomware. MySQL-serveradministratorer, der har brug for fjernadgang til deres databaser, skal være ekstra forsigtige.
Hackere kører en jævn søgning på internettet. Disse hackere, der menes at være placeret i Kina, leder efter Windows-servere, der kører MySQL-databaser. Gruppen planlægger åbenbart at inficere disse systemer med GandCrab ransomware.
Ransomware er sofistikeret software, der låser den sande ejer af filerne og kræver betaling for at sende på tværs af en digital nøgle. Det er interessant at bemærke, at cybersikkerhedsfirmaer indtil nu ikke har set nogen trusselsaktør, der har angrebet MySQL-servere, der kører på Windows-systemer, især for at inficere dem med ransomware. Med andre ord er det ualmindeligt, at hackere leder efter sårbare databaser eller servere og installerer ondsindet kode. Den almindelige praksis, der almindeligvis observeres, er et systematisk forsøg på at stjæle data, mens man prøver at undgå afsløring.
Det seneste forsøg på at kravle over internettet på udkig efter sårbare MySQL-databaser, der kører på Windows-systemer, blev afdækket af Andrew Brandt, hovedforsker hos Sophos. Ifølge Brandt synes hackere at scanne efter internetadgang til MySQL-databaser, der accepterer SQL-kommandoer. Søgeparametrene kontrollerer, om systemerne kører Windows OS. Efter at have fundet et sådant system bruger hackere derefter ondsindede SQL-kommandoer til at plante en fil på de eksponerede servere. Når infektionen, når den er vellykket, bruges på et senere tidspunkt til at være vært for GandCrab ransomware.
Disse seneste forsøg vedrører, fordi Sophos-forskeren formåede at spore dem tilbage til en fjernserver, der måske bare er en af flere. Åbenbart havde serveren en åben mappe, der kørte serversoftware kaldet HFS, som er en type HTTP-filserver. Softwaren tilbød statistik for angriberens ondsindede nyttelast.
Brandt sagde uddybende om resultaterne, ”Serveren ser ud til at angive mere end 500 downloads af den prøve, jeg så MySQL-honeypot-download (3306-1.exe). Prøverne med navnet 3306-2.exe, 3306-3.exe og 3306-4.exe er dog identiske med den fil. Talt sammen har der været næsten 800 downloads i de fem dage, siden de blev placeret på denne server, samt mere end 2300 downloads af den anden (ca. en uges ældre) GandCrab-prøve i den åbne bibliotek. Så selvom dette ikke er et særligt massivt eller udbredt angreb, udgør det en alvorlig risiko for MySQL-serveradministratorer, der har stukket et hul gennem firewallen til port 3306 på deres databaseserver for at kunne nås af omverdenen ”
Det er betryggende at bemærke, at erfarne MySQL-serveradministratorer sjældent konfigurerer deres servere forkert, eller værst, efterlader deres databaser uden adgangskoder. Imidlertid, sådanne tilfælde er ikke ualmindelige. Formålet med de vedvarende scanninger ser tilsyneladende ud til den opportunistiske udnyttelse af fejlkonfigurerede systemer eller databaser uden adgangskoder.