MySQL-databaser skannas för att infektera GandCrab Ransomware
En dedikerad grupp hackare kör en ganska enkel men ihållande sökning efter MySQL-databaser. Sårbara databaser riktas sedan mot installation av ransomware. MySQL-serveradministratörer som behöver åtkomst till sina databaser på distans måste vara extra försiktiga.
Hackare kör en konsekvent sökning över internet. Dessa hackare, som tros vara belägna i Kina, letar efter Windows-servrar som kör MySQL-databaser. Gruppen planerar uppenbarligen att infektera dessa system med GandCrab ransomware.
Ransomware är sofistikerad programvara som låser ut den verkliga ägaren av filerna och kräver betalning för att skicka över en digital nyckel. Det är intressant att notera att cybersäkerhetsföretag inte har sett någon hotaktör hittills som har attackerat MySQL-servrar som körs på Windows-system, särskilt för att infektera dem med ransomware. Med andra ord är det ovanligt att hackare letar efter utsatta databaser eller servrar och installerar skadlig kod. Den vanliga sedvanliga praxis är ett systematiskt försök att stjäla data medan man försöker undvika upptäckt.
Det senaste försöket att krypa över internet och leta efter utsatta MySQL-databaser som körs på Windows-system upptäcktes av Andrew Brandt, huvudforskare på Sophos. Enligt Brandt verkar hackare söka efter Internet-tillgängliga MySQL-databaser som accepterar SQL-kommandon. Sökparametrarna kontrollerar om systemen kör Windows OS. När de hittar ett sådant system använder hackare sedan skadliga SQL-kommandon för att plantera en fil på de exponerade servrarna. När infektionen väl lyckats används den senare för att vara värd för GandCrab ransomware.
De senaste försöken gäller eftersom Sophos-forskaren lyckades spåra dem till en fjärrserver som bara kan vara en av flera. Uppenbarligen hade servern en öppen katalog som kör serverprogramvara som heter HFS, vilket är en typ av HTTP-filserver. Programvaran erbjöd statistik för angriparens skadliga nyttolast.
När han utarbetade resultaten konstaterade Brandt: ”Servern verkar indikera mer än 500 nedladdningar av exemplet jag såg nedladdningen av MySQL-honningspottet (3306-1.exe). Proverna med namnet 3306-2.exe, 3306-3.exe och 3306-4.exe är dock identiska med den filen. Räknat tillsammans har det varit nästan 800 nedladdningar de fem dagarna sedan de placerades på denna server, liksom mer än 2300 nedladdningar av det andra (ungefär en vecka äldre) GandCrab-provet i den öppna katalogen. Så även om detta inte är en särskilt massiv eller utbredd attack, innebär det en allvarlig risk för MySQL-serveradministratörer som har stött ett hål genom brandväggen för port 3306 på sin databasserver för att nås av omvärlden. "
Det är lugnande att notera att erfarna MySQL-serveradministratörer sällan konfigurerar sina servrar felaktigt, eller värst, lämnar sina databaser utan lösenord. I alla fall, sådana fall är inte ovanliga. Tydligen verkar syftet med de ihållande skanningarna till det opportunistiska utnyttjandet av felkonfigurerade system eller databaser utan lösenord.