Mindst en Kinesisk hacking besætningen er i øjeblikket scanne internettet for Windows-servere, der kører MySQL-databaser, så de kan inficere disse systemer med GandCrab ransomware.
Disse angreb er noget enestående, som cyber-sikkerhed i virksomheder har ikke set nogen trussel skuespiller, indtil nu, har angrebet MySQL-servere, der kører på Windows-systemer til at inficere dem med ransomware.
Andrew Brandt, der er ledende Forsker ved Sophos, og én, der opdagede, at disse nye angreb i en honeypot logfiler, der er beskrevet dem som “en serendipitous opdagelse” i en e-mail til ZDNet.
Den forsker, der offentliggøres i dag i et blog-indlæg på Sophos hjemmeside beskriver dette nye scanning aktivitet og dens nyttelast.
Angribere mål sjældne, men saftigt, udsat MySQL DBs
Brandt, sagde hackere vil scanne for internet-adgang MySQL-databaser, som ville acceptere SQL-kommandoer, kontrollere, om den underliggende server ville køre på Windows, og derefter bruge ondsindede SQL-kommandoer til at plante en fil på den eksponerede servere, som de ville senere udføre, inficere værten med GandCrab ransomware.
Mens de fleste systemadministratorer typisk beskytte deres MySQL servere med passwords, formålet med disse scanninger, viste sig at være opportunistisk udnyttelse af forkert eller passwordless databaser.
Ifølge Brandt, hackere syntes at have været helt formidabel, mens det ikke er helt klart, hvis de var en succes.
Sophos forsker spores disse angreb tilbage til en fjern server, som havde en åben mappe, der kører server software kaldet HFS, som er udsat downloade statistik for hacker ‘ s ondsindede nyttelast.
Billede: Sophos Labs
“Serveren ser ud til at angive mere end 500 downloads af den prøve jeg så MySQL honeypot download (3306-1.exe). Men de prøver, som er opkaldt 3306-2.exe, 3306-3.exe og 3306-4.exe er identisk fil,” Brandt, sagde.
“Tælles sammen, der har været næsten 800 downloads i fem dage siden, at de blev placeret på denne server, samt mere end 2300 downloads af andre (om en uge ældre) GandCrab prøve i det åbne bibliotek.
“Så selvom dette ikke er en særligt massiv eller udbredte angreb, det udgør en alvorlig risiko for, at MySQL-server admins, hvem der har stukket et hul gennem firewall for port 3306 på deres database server for at kunne nås af den ydre verden,” sagde han.
Som Brandt påpeger, er disse typer af angreb er meget sjældne. Hacker-grupper, der normalt scanne for database-servere til at infiltrere virksomheder, og for at stjæle deres data eller intellektuel ejendomsret, eller til at plante crypto-mining malware [1, 2].
Tilfælde, hvor en hacker-gruppen udsender ransomware er sjældne.
Relaterede malware og it-kriminalitet dækning:
Bestmixer beslaglagt af politiet for at vaske $200 millioner i behæftet cryptocurrencyOhio skolen sender elever hjem på grund af Trickbot malware infectionSecurity forskere opdage Linux version af Winnti malwareStack Overløb hacker gik upåagtet hen i weekGoogle forskning: de Fleste hacker-til-leje service er fraudsCompany bag LeakedSource erklærer sig skyldig i CanadaThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre