Almeno un hacker Cinese equipaggio è attualmente la scansione di internet per Windows server che eseguono database MySQL in modo che possano infettare questi sistemi con l’GandCrab ransomware.
Questi attacchi sono un po ‘ unico, come il cyber-sicurezza, le imprese non hanno visto alcuna minaccia attore fino ad ora che ha attaccato i server MySQL in esecuzione su sistemi Windows per infettarli con ransomware.
Andrew Brandt, Principale Ricercatore di Sophos, e quello che individuato questi nuovi attacchi in un honeypot registri li descrisse come “una fortuita scoperta” in una e-mail a ZDNet.
Il ricercatore pubblicato oggi un post sul blog sul sito web di Sophos dettagli di questa nuova attività di scansione e il suo carico.
Attaccanti target rare, ma succosa, esposto MySQL DBs
Brandt ha detto hacker sarebbe la scansione per, accessibili via internet, database MySQL che accetta i comandi SQL, controllare se il sottostante server girano su Windows, e quindi utilizzare dannosi comandi SQL per l’impianto di un file su esposti i server, che avevano seguito di esecuzione e di infettare il computer con l’GandCrab ransomware.
Mentre la maggior parte gli amministratori di sistema in genere proteggere i loro server MySQL con password, lo scopo di queste scansioni sembrava essere opportunista sfruttamento delle configurato in modo errato o senza password di database.
Secondo Brandt, gli hacker sembrano abbastanza prodigiosa, mentre non è del tutto chiaro se hanno avuto successo.
Sophos ricercatore di revisioni di questi attacchi di nuovo ad un server remoto, che aveva un open directory server in esecuzione un software che si chiama HFS, che hanno esposto le statistiche di download per l’attaccante del payload dannosi.
Immagine: Sophos Labs
“Il server sembra indicare più di 500 download del campione che ho visto MySQL honeypot scaricare (3306-1.exe). Tuttavia, i campioni di nome 3306-2.exe, 3306-3.exe e 3306-4.exe sono identica a quella di un file,” Brandt ha detto.
“Sono conteggiate insieme, c’è stato di circa 800 download in cinque giorni da quando sono stati messi su questo server, così come più di 2300 download di altri (circa una settimana di età) GandCrab campione in open directory.
“Così, mentre questo non è particolarmente massiccia o diffusa attacco, si pone un grave rischio per MySQL server amministratori che hanno infilò un foro attraverso il firewall per la porta 3306 sul loro server di database per essere raggiungibile con il mondo esterno,” ha detto.
Come Brandt punti, questi tipi di attacchi sono molto rari. Gruppi di Hacker di solito la scansione per i server di database per infiltrarsi aziende e per rubare i loro dati o di proprietà intellettuale, o a impianto di crypto-mining malware [1, 2].
Casi in cui un gruppo di hacker distribuisce ransomware sono rari.
Correlati malware e attacchi informatici di copertura:
Bestmixer sequestrati dalla polizia per il lavaggio di 200 milioni di dollari contaminato cryptocurrencyOhio scuola permette agli studenti di casa a causa di Trickbot malware infectionSecurity ricercatori scoprono la versione Linux di Winnti malwareStack Overflow hacker è andato inosservato per una weekGoogle di ricerca: la Maggior parte di hacker-per-un servizio di noleggio fraudsCompany dietro LeakedSource si dichiara colpevole in CanadaThe scuro web è più piccolo, e può essere meno pericoloso di quanto si pensi TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati