Minst en Kinesisk hacka crew är för närvarande skanna internet för Windows-servrar som kör MySQL-databaser så att de kan infektera dessa system med GandCrab ransomware.
Dessa attacker är något unikt, som cyber-bevakningsföretag har inte sett något hot skådespelare förrän nu som attackerade MySQL-servrar som körs på Windows-system för att infektera dem med ransomware.
Andreas Brandt, förste Forskare på Sophos, och en som såg dessa nya attacker i en skål med honung loggar beskrev dem som “en lyckosam upptäckt” i ett e-postmeddelande till ZDNet.
Den forskare som idag publiceras ett blogginlägg på Sophos hemsida beskriver denna nya scanning aktivitet och dess nyttolast.
Attacker riktar sällsynta, men saftiga, utsätts MySQL DBs
Brandt sa att hackare skulle söka för internet tillgängliga MySQL-databaser som skulle acceptera SQL-kommandon, kontrollera om den underliggande server skulle köras på Windows, och sedan använda skadlig SQL-kommandon för att plantera en fil på den exponerade servrar, som de skulle senare köra, infekterar värddatorn med GandCrab ransomware.
Medan de flesta administratörer typiskt skydda sina MySQL-servrar med lösenord, syftet med dessa genomsökningar verkade vara opportunistiska utnyttjande av felaktigt eller passwordless databaser.
Enligt Brandt, hackare verkade ha varit ganska häpnadsväckande, samtidigt som det inte helt klart om de var framgångsrika.
Sophos forskare spårade dessa attacker tillbaka till en avlägsen server, som hade en öppen katalog som kör server-programvara som kallas HFS, som utsätts ladda ner statistik för angriparens skadliga nyttolaster.
Bild: Sophos Labs
“Servern visas för att indikera mer än 500 nedladdningar av det prov som jag såg MySQL honeypot ladda ner (3306-1.exe). Men de prover som heter 3306-2.exe, 3306-3.exe och 3306-4.exe är identisk med den som fil,” Brandt sade.
“Räknade tillsammans, det har gått nästan 800 nedladdningar i fem dagar eftersom de var placerade på denna server, samt mer än 2300 nedladdningar av den andra (om en vecka äldre) GandCrab prov i open directory.
“Så medan detta inte är en särskilt omfattande eller omfattande attack, det utgör en allvarlig risk för MySQL-server admins som har petade hål genom brandväggen för port 3306 på deras databas-server för att kunna nås av världen utanför”, sade han.
Som Brandt pekar ut dessa typer av attacker är mycket ovanliga. Hacker grupper brukar skanna för databas-servrar för att infiltrera företag och är ett sätt att stjäla data eller intellektuell egendom, eller att plantera crypto-utvinning av skadlig kod [1, 2].
Fall där en hacker grupp som distribuerar ransomware är sällsynta.
Relaterade skadliga program och it-brottslighet täckning:
Bestmixer beslagtogs av polisen för att tvätta $200 miljoner i behäftade cryptocurrencyOhio skolan skickar elever och hem på grund av Trickbot malware infectionSecurity forskare upptäcka Linux-version av Winnti malwareStack Overflow hacker gick oupptäckt under en weekGoogle forskning: de Flesta hacker-för-hyra tjänster är fraudsCompany bakom LeakedSource åberopat sig skyldig i CanadaThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter