Bancos de dados MySQL sendo verificados para infectar GandCrab Ransomware

Segurança / Bancos de dados MySQL sendo verificados para infectar GandCrab Ransomware 2 minutos lidos

MySQL



Um grupo dedicado de hackers está executando uma busca bastante simplista, mas persistente, por bancos de dados MySQL. Os bancos de dados vulneráveis ​​são então direcionados para a instalação de ransomware. Os administradores do servidor MySQL que precisam acessar seus bancos de dados remotamente precisam ser extremamente cautelosos.

Os hackers estão fazendo uma pesquisa consistente em toda a Internet. Esses hackers, que se acredita estarem localizados na China, estão procurando servidores Windows que executam bancos de dados MySQL. O grupo está evidentemente planejando infectar esses sistemas com o ransomware GandCrab .



Ransomware é um software sofisticado que bloqueia o verdadeiro proprietário dos arquivos e exige pagamento para enviar por meio de uma chave digital. É interessante notar que as empresas de segurança cibernética não viram nenhum agente de ameaça até agora que tenha atacado servidores MySQL em execução em sistemas Windows, especialmente para infectá-los com ransomware. Em outras palavras, é incomum que hackers procurem bancos de dados ou servidores vulneráveis ​​e instalem código malicioso. A prática normal comumente observada é uma tentativa sistemática de roubar dados ao tentar escapar da detecção.



A última tentativa de rastrear pela Internet em busca de bancos de dados MySQL vulneráveis ​​em execução em sistemas Windows foi descoberta por Andrew Brandt, pesquisador principal da Sophos. De acordo com Brandt, os hackers parecem estar procurando bancos de dados MySQL acessíveis pela Internet que aceitem comandos SQL. Os parâmetros de pesquisa verificam se os sistemas estão executando o sistema operacional Windows. Ao encontrar esse sistema, os hackers usam comandos SQL maliciosos para plantar um arquivo nos servidores expostos. A infecção, uma vez bem-sucedida, é usada posteriormente para hospedar o ransomware GandCrab.



Essas últimas tentativas são preocupantes porque o pesquisador do Sophos conseguiu rastreá-los até um servidor remoto que pode ser apenas um entre vários. Evidentemente, o servidor tinha um diretório aberto executando um software de servidor chamado HFS, que é um tipo de servidor de arquivos HTTP. O software oferece estatísticas para as cargas maliciosas do invasor.

Elaborando as descobertas, Brandt disse: “O servidor parece indicar mais de 500 downloads da amostra que vi o download do honeypot do MySQL (3306-1.exe). No entanto, os exemplos chamados 3306-2.exe, 3306-3.exe e 3306-4.exe são idênticos a esse arquivo. Contados juntos, ocorreram quase 800 downloads nos cinco dias desde que foram colocados neste servidor, bem como mais de 2300 downloads da outra amostra GandCrab (cerca de uma semana mais velha) no diretório aberto. Portanto, embora este não seja um ataque especialmente massivo ou generalizado, representa um sério risco para os administradores do servidor MySQL que abriram um buraco no firewall para a porta 3306 em seu servidor de banco de dados para ser acessível pelo mundo externo ”

É reconfortante notar que administradores de servidor MySQL experientes raramente configuram mal seus servidores, ou pior, deixam seus bancos de dados sem senhas. Contudo, tais casos não são incomuns . Aparentemente, o propósito das varreduras persistentes parece ser a exploração oportunista de sistemas mal configurados ou bancos de dados sem senhas.