MySQL
En dedikert gruppe hackere kjører et ganske forenklet, men vedvarende søk etter MySQL-databaser. Sårbare databaser er deretter målrettet for å installere ransomware. MySQL-serveradministratorer som trenger tilgang til databasene sine eksternt, må være ekstra forsiktige.
Hackere kjører et jevnt søk på internett. Disse hackerne, antatt å være lokalisert i Kina, leter etter Windows-servere som kjører MySQL-databaser. Gruppen planlegger tydeligvis å infisere disse systemene med GandCrab ransomware .
Ransomware er sofistikert programvare som låser ut den virkelige eieren av filene og krever betaling for å sende over en digital nøkkel. Det er interessant å merke seg at nettsikkerhetsfirmaer ikke har sett noen trusselaktør til nå som har angrepet MySQL-servere som kjører på Windows-systemer, spesielt for å infisere dem med løsepenger. Med andre ord er det uvanlig at hackere leter etter sårbare databaser eller servere og installerer skadelig kode. Vanlig vanlig praksis er et systematisk forsøk på å stjele data mens du prøver å unngå deteksjon.
Det siste forsøket på å krype over internett på jakt etter sårbare MySQL-databaser som kjører på Windows-systemer, ble avdekket av Andrew Brandt, hovedforsker ved Sophos. I følge Brandt ser det ut til at hackere skanner etter Internett-tilgjengelige MySQL-databaser som godtar SQL-kommandoer. Søkeparametrene sjekker om systemene kjører Windows OS. Når hackere finner et slikt system, bruker de ondsinnede SQL-kommandoer for å plante en fil på de eksponerte serverne. En gang vellykket infeksjon brukes på et senere tidspunkt for å være vert for GandCrab ransomware.
Disse siste forsøkene gjelder fordi Sophos-forskeren klarte å spore dem tilbake til en ekstern server som bare kan være en av flere. Åpenbart hadde serveren en åpen katalog som kjørte serverprogramvare kalt HFS, som er en type HTTP-filserver. Programvaren ga statistikk for angriperens ondsinnede nyttelast.
Utdypende om funnene, sa Brandt, “Serveren ser ut til å indikere mer enn 500 nedlastinger av prøven jeg så MySQL-honeypot-nedlastingen (3306-1.exe). Prøvene som heter 3306-2.exe, 3306-3.exe og 3306-4.exe er imidlertid identiske med den filen. Telt sammen har det vært nesten 800 nedlastinger på de fem dagene siden de ble plassert på denne serveren, samt mer enn 2300 nedlastinger av den andre (omtrent en uke eldre) GandCrab-prøven i den åpne katalogen. Så selv om dette ikke er et spesielt massivt eller utbredt angrep, utgjør det en alvorlig risiko for MySQL-serveradministratorer som har stukket et hull gjennom brannmuren for port 3306 på databaseserveren for å kunne nås av omverdenen. '
Det er betryggende å merke seg at erfarne MySQL-serveradministratorer sjelden konfigurerer serverne feil, eller verst, la databasene sine uten passord. Men, slike tilfeller er ikke uvanlige . Tilsynelatende virker formålet med de vedvarende skanningene til den opportunistiske utnyttelsen av feilkonfigurerte systemer eller databaser uten passord.
