Serendipitous otkriće otkriva novu prijetnju za vlasnike MySQL poslužitelja.
Vidi al
- 10 opasnih ranjivosti aplikacija na koje treba pripaziti (besplatni PDF)
Najmanje jedna kineska hakerska ekipa trenutno skenira internet u potrazi za Windows poslužiteljima koji pokreću MySQL baze podataka kako bi mogli zaraziti te sustave ransomwareom GandCrab.
Ovi napadi su donekle jedinstveni, budući da tvrtke za kibernetičku sigurnost do sada nisu vidjele niti jednog aktera prijetnje koji je napao MySQL poslužitelje koji rade na Windows sustavima kako bi ih zarazio ransomwareom.
Andrew Brandt, glavni istraživač u Sophosu, i onaj koji je uočio ove nove napade u zapisima honeypota opisao ih je kao "slučajno otkriće" u e-poruci ZDNet-u.
Istraživač je danas objavio post na blogu na web stranici Sophosa s detaljima ove nove aktivnosti skeniranja i njegovu nosivost.
Napadači ciljaju na rijetke, ali sočne, izložene MySQL baze podataka
Brandt je rekao da će hakeri skenirati internetski dostupne MySQL baze podataka koje bi prihvaćale SQL naredbe, provjeriti hoće li temeljni poslužitelj raditi na Windows, a zatim koriste zlonamjerne SQL naredbe za postavljanje datoteke na izložene poslužitelje, koju bi kasnije izvršili, zarazivši host s GandCrabom ransomware.
Dok većina administratora sustava obično štiti svoje MySQL poslužitelje lozinkama, svrha od ovih skeniranja činilo se oportunističkim iskorištavanjem pogrešno konfiguriranih ili bez lozinke baze podataka.
Prema Brandtu, činilo se da su hakeri bili prilično nevjerojatni, iako nije posve jasno jesu li bili uspješni.
Istraživač Sophosa pratio je te napade natrag do udaljenog poslužitelja, koji je imao otvoreni direktorij s pokrenutim poslužiteljskim softverom pod nazivom HFS, koji je izložio statistiku preuzimanja za zlonamjerne sadržaje napadača.
"Čini se da poslužitelj pokazuje više od 500 preuzimanja uzorka. Vidio sam preuzimanje MySQL honeypota (3306-1.exe). Međutim, uzorci pod nazivom 3306-2.exe, 3306-3.exe i 3306-4.exe identični su toj datoteci", rekao je Brandt.
“Zajedno, bilo je gotovo 800 preuzimanja u pet dana otkako su postavljeni na ovo poslužitelja, kao i više od 2300 preuzimanja drugog (otprilike tjedan dana starijeg) GandCrab uzorka na otvorenom imenik.
"Dakle, iako ovo nije posebno masivan ili široko rasprostranjen napad, on predstavlja ozbiljan rizik za administratore MySQL poslužitelja koji probili su rupu kroz vatrozid za priključak 3306 na svom poslužitelju baze podataka kako bi bio dostupan vanjskom svijetu," rekao je rekao je.
Kako ističe Brandt, ovakvi su napadi vrlo rijetki. Hakerske skupine obično traže poslužitelje baza podataka kako bi se infiltrirale u tvrtke i ukrale njihove podatke ili intelektualno vlasništvo ili postavile zlonamjerni softver za kripto rudarenje [1, 2].
Rijetki su slučajevi u kojima grupa hakera postavlja ransomware.
Zabavni i funkcionalni Raspberry Pi dodaci (izdanje iz srpnja 2019.)
Povezani zlonamjerni softver i kibernetički kriminal:
- Bestmixer zaplijenila policija zbog pranja 200 milijuna dolara u pokvarenoj kriptovaluti
- Škola u Ohaju šalje učenike kući zbog infekcije zlonamjernim softverom Trickbot
- Sigurnosni istraživači otkrivaju Linux verziju zlonamjernog softvera Winnti
- Stack Overflow haker nije bio otkriven tjedan dana
- Google istraživanje: Većina usluga za unajmljivanje hakera su prijevare
- Tvrtka koja stoji iza LeakedSourcea priznaje krivnju u Kanadi
- Dark web je manji i možda je manje opasan nego što mislimoTechRepublic
- Igra prijestolja ima najviše zlonamjernog softvera od svih piratskih TV serijaCNET