MySQL
A hackerek dedikált csoportja meglehetősen egyszerű, de kitartó keresést folytat a MySQL adatbázisok iránt. Ezután sebezhető adatbázisokat céloznak meg a ransomware telepítésére. A MySQL szerver rendszergazdáknak, akiknek távoli hozzáférésre van szükségük az adatbázisukhoz, különös óvatossággal kell eljárniuk.
A hackerek következetes keresést folytatnak az interneten. Ezek a hackerek, akikről feltételezhető, hogy Kínában találhatók, MySQL adatbázisokat futtató Windows szervereket keresnek. A csoport nyilvánvalóan azt tervezi megfertőzni ezeket a rendszereket a GandCrab ransomware programmal .
A Ransomware egy olyan kifinomult szoftver, amely kizárja a fájlok valódi tulajdonosát, és fizetést követel meg egy digitális kulcson keresztül történő küldésért. Érdekes megemlíteni, hogy a kiberbiztonsági cégek eddig nem láttak olyan fenyegetést, amely főleg a Windows rendszereken futó MySQL szervereket támadta meg, hogy ransomware programmal fertőzze meg őket. Más szavakkal, ritka, hogy a hackerek sebezhető adatbázisokat vagy szervereket keresnek és rosszindulatú kódokat telepítenek. Az általában megfigyelt szokásos gyakorlat szisztematikus kísérlet az adatok ellopására, miközben megpróbálja elkerülni az észlelést.
Andrew Brandt, a Sophos vezető kutatója feltárta a legújabb kísérletet az interneten való feltérképezésre, amely a Windows rendszereken futó sebezhető MySQL adatbázisokat keresi. Brandt szerint úgy tűnik, hogy a hackerek olyan interneten elérhető MySQL adatbázisokat keresnek, amelyek elfogadják az SQL parancsokat. A keresési paraméterek ellenőrzik, hogy a rendszereken fut-e Windows operációs rendszer. Egy ilyen rendszer megtalálása után a hackerek ezután rosszindulatú SQL parancsokkal telepítenek egy fájlt a kiszolgált szerverekre. A sikeres fertőzés később egy későbbi időpontban felhasználható a GandCrab ransomware tárolására.
Ezek a legújabb kísérletek azért aggódnak, mert a Sophos kutatójának sikerült egy távoli szerverre visszavezetni őket, amely csak egy lehet a több közül. Nyilvánvaló, hogy a kiszolgálónak volt egy nyitott címjegyzéke, amely HFS nevű kiszolgálószoftvert futtatott, amely egyfajta HTTP fájlszerver. A szoftver statisztikát kínált a támadó rosszindulatú terheléséről.
A megállapítások feldolgozásával Brandt azt mondta: „Úgy tűnik, hogy a szerver több mint 500 letöltést jelzett a MySQL honeypot letöltést (3306-1.exe) látott mintából. A 3306-2.exe, a 3306-3.exe és a 3306-4.exe nevű minták azonban megegyeznek az adott fájllal. Összesen számolva, az ezen a szerveren való elhelyezés óta eltelt öt nap alatt közel 800 letöltés történt, valamint a nyílt könyvtárban a másik (körülbelül egy héttel régebbi) GandCrab minta több mint 2300 letöltés történt. Tehát bár ez nem különösebben hatalmas vagy elterjedt támadás, komoly kockázatot jelent azoknak a MySQL szerverek rendszergazdáinak, akik lyukat szúrtak a tűzfalon keresztül az adatbázis-kiszolgálójuk 3306-os portjához, hogy a külvilág számára elérhető legyen
Megnyugtató megjegyezni, hogy a tapasztalt MySQL szerveradminisztrátorok ritkán konfigurálják rosszul a szervereiket, vagy a legrosszabb esetben jelszavak nélkül hagyják az adatbázisukat. Azonban, az ilyen esetek nem ritkák . Nyilvánvaló, hogy a tartós vizsgálatok célja a rosszul konfigurált rendszerek vagy adatbázisok jelszó nélküli opportunista kiaknázása.
