MySQL-databaser blir skannet for å infisere GandCrab Ransomware
En dedikert gruppe hackere kjører et ganske forenklet, men vedvarende søk etter MySQL-databaser. Sårbare databaser er deretter målrettet for å installere løsepenger. MySQL-serveradministratorer som trenger tilgang til databasene sine eksternt, må være ekstra forsiktige.
Hackere kjører et jevnt søk på internett. Disse hackerne, antatt å være lokalisert i Kina, leter etter Windows-servere som kjører MySQL-databaser. Gruppen planlegger tydeligvis å infisere disse systemene med GandCrab ransomware.
Ransomware er sofistikert programvare som sperrer den virkelige eieren av filene og krever betaling for å sende over en digital nøkkel. Det er interessant å merke seg at nettsikkerhetsfirmaer ikke har sett noen trusselsaktør til nå som har angrepet MySQL-servere som kjører på Windows-systemer, spesielt for å infisere dem med løsepenger. Med andre ord er det uvanlig at hackere leter etter sårbare databaser eller servere og installerer skadelig kode. Vanlig vanlig praksis er et systematisk forsøk på å stjele data mens du prøver å unngå deteksjon.
Det siste forsøket på å krype over internett på jakt etter sårbare MySQL-databaser som kjører på Windows-systemer ble avdekket av Andrew Brandt, hovedforsker ved Sophos. Ifølge Brandt ser det ut til at hackere søker etter internett-tilgjengelige MySQL-databaser som vil godta SQL-kommandoer. Søkeparametrene sjekker om systemene kjører Windows OS. Når hackere finner et slikt system, bruker de skadelige SQL-kommandoer for å plante en fil på de eksponerte serverne. En gang vellykket infeksjon brukes på et senere tidspunkt for å være vert for GandCrab ransomware.
Disse siste forsøkene gjelder fordi Sophos-forskeren klarte å spore dem tilbake til en ekstern server som bare kan være en av flere. Åpenbart hadde serveren en åpen katalog som kjørte serverprogramvare kalt HFS, som er en type HTTP-filserver. Programvaren ga statistikk for angriperens ondsinnede nyttelast.
Utdypende om funnene, sa Brandt, “Serveren ser ut til å indikere mer enn 500 nedlastinger av prøven jeg så MySQL-honeypot-nedlastingen (3306-1.exe). Prøvene som heter 3306-2.exe, 3306-3.exe og 3306-4.exe er imidlertid identiske med den filen. Telt sammen har det vært nesten 800 nedlastinger i løpet av de fem dagene siden de ble plassert på denne serveren, i tillegg til mer enn 2300 nedlastinger av den andre (omtrent en uke eldre) GandCrab-prøven i den åpne katalogen. Så selv om dette ikke er et spesielt massivt eller utbredt angrep, utgjør det en alvorlig risiko for MySQL-serveradministratorer som har stukket et hull gjennom brannmuren for port 3306 på databaseserveren for å kunne nås av omverdenen. "
Det er betryggende å merke seg at erfarne MySQL-serveradministratorer sjelden konfigurerer sine servere feil, eller verst, la databasene sine uten passord. Derimot, slike tilfeller er ikke uvanlige. Tilsynelatende synes formålet med de vedvarende skanningene å være opportunistisk utnyttelse av feilkonfigurerte systemer eller databaser uten passord.