Hackers estão procurando por servidores MySQL para implantar o ransomware GandCrab

Pelo menos uma equipe chinesa de hackers está atualmente vasculhando a internet em busca de servidores Windows que estejam rodando bancos de dados MySQL, para que possam infectar esses sistemas com o ransomware GandCrab.

Esses ataques são um tanto exclusivos, já que as empresas de segurança cibernética ainda não viram nenhum agente de ameaça que tenha atacado os servidores MySQL em execução nos sistemas Windows para infectá-los com ransomware.

Andrew Brandt, pesquisador-chefe da Sophos, e aquele que detectou esses novos ataques nos registros de um honeypot descreveu-os como “uma descoberta fortuita” em um e-mail para o portal ZDNet.

O pesquisador publicou hoje uma postagem no blog do site da Sophos detalhando essa nova atividade de varredura e sua carga útil.

OS ATACANTES VISAM BANCOS DE DADOS MYSQL COM VULNERABILIDADES EXPOSTAS

Brandt disse que os hackers procurariam por bancos de dados MySQL acessíveis à Internet que aceitassem comandos SQL, verificassem se o servidor subjacente funcionaria no Windows e usariam comandos SQL maliciosos para plantar um arquivo nos servidores expostos, que seriam executados posteriormente, infectando o anfitrião com o ransomware GandCrab.

Enquanto a maioria dos administradores de sistemas tipicamente protege seus servidores MySQL com senhas, o propósito dessas varreduras parece ser a exploração oportunista de bancos de dados mal configurados ou sem senha.

De acordo com Brandt, os hackers pareciam ter sido bastante prodigiosos, embora não totalmente claro se foram bem sucedidos.

O pesquisador da Sophos rastreou esses ataques de volta a um servidor remoto, que tinha um software de servidor de diretório aberto chamado HFS, que expunha as estatísticas de download das cargas maliciosas do invasor.

“O servidor parece indicar mais de 500 downloads do exemplo que vi o download do honeypot do MySQL (3306-1.exe). No entanto, os exemplos chamados 3306-2.exe, 3306-3.exe e 3306-4.exe são idênticos a esse arquivo “, disse Brandt.

“Contados juntos, houve quase 800 downloads nos cinco dias desde que eles foram colocados neste servidor, bem como mais de 2300 downloads do outro (cerca de uma semana mais antiga) amostra do GandCrab no diretório aberto.

“Portanto, embora este não seja um ataque massivo ou generalizado, representa um sério risco para os administradores de servidores MySQL, que abriram um buraco através do firewall para que a porta 3306 em seu servidor de banco de dados seja acessada pelo mundo exterior”, disse ele. .

Como Brandt aponta, esses tipos de ataques são muito raros. Os grupos de hackers geralmente procuram servidores de banco de dados para se infiltrar em empresas e roubar seus dados ou propriedade intelectual, ou para plantar malware de mineração de criptomoedas [ 1 , 2 ].

Instâncias em que um grupo de hackers implanta ransomware são raras.


MATÉRIAS RELACIONADAS
COMENTÁRIOS

Nenhum comentário

DEIXE UM COMENTÁRIO