Ten minste één Chinese hacken bemanning is op dit moment het scannen het internet voor Windows-servers die worden uitgevoerd MySQL databases, zodat ze kunnen infecteren deze systemen met de GandCrab ransomware.
Deze aanvallen zijn van iets unieks, zoals cyber-security bedrijven hebben niet gezien een bedreiging acteur tot nu toe heeft aangevallen MySQL-servers die worden uitgevoerd op Windows-systemen om ze te infecteren met ransomware.
Andrew Brandt, hoofdonderzoeker bij Sophos, en de één die gespot deze nieuwe aanvallen in een honeypot logs beschreef hen als “een toevallige ontdekking” in een e-mail naar ZDNet.
De onderzoeker publiceerde vandaag een blog post op de Sophos website detailleren van deze nieuwe activiteit van het scannen en de lading.
Aanvallers richten zeldzaam, maar sappig, blootgesteld MySQL DBs
Brandt zei hackers zouden scan voor internet toegankelijk MySQL databases accepteren SQL-opdrachten, het controleren of de onderliggende server zou draaien op Windows, en gebruik vervolgens de schadelijke SQL-commando ‘ s om te planten van een bestand op de blootgestelde servers, die zou ze later uit te voeren, door het infecteren van de host met de GandCrab ransomware.
Terwijl de meeste systeembeheerders meestal bij het beschermen van hun MySQL servers met wachtwoorden, het doel van deze scans bleek de opportunistische exploitatie van onjuist geconfigureerde of passwordless databases.
Volgens Brandt, de hackers was heel wonderbaarlijke, terwijl het niet helemaal duidelijk of ze zijn geslaagd.
De Sophos-onderzoeker bijgehouden deze aanvallen terug naar een externe server, die had een open directory server software genaamd HFS, die blootgesteld download statistieken voor de aanvaller kwaadaardige lading.
Afbeelding: Sophos Labs
“De server wordt weergegeven om aan te geven meer dan 500 downloads van het monster zag ik de MySQL honeypot downloaden (3306-1.exe). Echter, de monsters met de naam 3306-2.exe, 3306-3.exe en 3306-4.exe zijn identiek aan die file,” Hij zei.
“Geteld samen, er is bijna 800 downloads in de vijf dagen dat ze werden geplaatst op deze server, evenals meer dan 2300 downloads van de andere (over een week ouder) GandCrab monster in de open directory.
“Dus terwijl dit niet een bijzonder massieve of wijdverbreide aanval, het vormt een ernstig risico voor de MySQL server admins die prikte een gat door de firewall voor de poort 3306 op hun database server bereikbaar te zijn door de buiten wereld,” zei hij.
Als Brandt punten uit, dit soort aanvallen zijn zeer zeldzaam. De Hacker groepen meestal scan voor database servers te infiltreren in bedrijven en stelen van de gegevens-of intellectuele eigendomsrechten, of om te planten crypto-mijnbouw-malware [1, 2].
Gevallen waarin een hacker groep voert ransomware zijn zeldzaam.
Gerelateerde malware en cybercriminaliteit dekking:
Bestmixer in beslag genomen door de politie voor het wassen van $200 miljoen in bedorven cryptocurrencyOhio school stuurt studenten naar huis omdat van Trickbot malware infectionSecurity onderzoekers ontdekken Linux-versie van de Winnti malwareStack Overloop hacker ging ongemerkt voor een weekGoogle onderzoek: de Meeste hacker-voor-het huren diensten zijn fraudsCompany achter LeakedSource pleit schuldig in CanadaThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters