MySQL-databases worden gescand op het infecteren van GandCrab Ransomware
Een toegewijde groep hackers voert een nogal simplistische maar aanhoudende zoektocht naar MySQL-databases uit. Kwetsbare databases worden vervolgens aangevallen voor het installeren van ransomware. MySQL-serverbeheerders die op afstand toegang tot hun databases nodig hebben, moeten extra voorzichtig zijn.
Hackers zoeken consistent op internet. Deze hackers, vermoedelijk gevestigd in China, zijn op zoek naar Windows-servers waarop MySQL-databases draaien. De groep is klaarblijkelijk van plan om deze systemen te infecteren met de GandCrab-ransomware.
Ransomware is geavanceerde software die de echte eigenaar van de bestanden uitsluit en betaling eist om een digitale sleutel te verzenden. Het is interessant op te merken dat cyberbeveiligingsbedrijven tot nu toe geen enkele bedreigingsacteur hebben gezien die MySQL-servers die op Windows-systemen draaien, heeft aangevallen, met name om ze te infecteren met ransomware. Met andere woorden, het is ongebruikelijk dat hackers op zoek gaan naar kwetsbare databases of servers en kwaadaardige code installeren. De normale praktijk die gewoonlijk wordt waargenomen, is een systematische poging om gegevens te stelen terwijl wordt geprobeerd detectie te omzeilen.
De laatste poging om over het internet te kruipen op zoek naar kwetsbare MySQL-databases die op Windows-systemen draaien, werd ontdekt door Andrew Brandt, hoofdonderzoeker bij Sophos. Volgens Brandt lijken hackers te zoeken naar op internet toegankelijke MySQL-databases die SQL-commando's zouden accepteren. De zoekparameters controleren of de systemen Windows OS draaien. Bij het vinden van een dergelijk systeem gebruiken hackers vervolgens kwaadaardige SQL-opdrachten om een bestand op de blootgestelde servers te planten. De infectie, eenmaal succesvol, wordt op een later tijdstip gebruikt om de GandCrab-ransomware te hosten.
Deze laatste pogingen zijn zorgwekkend omdat de Sophos-onderzoeker ze terug heeft kunnen traceren naar een externe server die er misschien maar een van meerdere is. Blijkbaar had de server een open directory met serversoftware genaamd HFS, een type HTTP-bestandsserver. De software bood statistieken voor de kwaadaardige ladingen van de aanvaller.
Voortbordurend op de bevindingen zei Brandt: “De server lijkt meer dan 500 downloads aan te geven van het voorbeeld dat ik zag van de MySQL-honeypot-download (3306-1.exe). De voorbeelden met de naam 3306-2.exe, 3306-3.exe en 3306-4.exe zijn echter identiek aan dat bestand. Bij elkaar opgeteld zijn er bijna 800 downloads geweest in de vijf dagen sinds ze op deze server werden geplaatst, evenals meer dan 2300 downloads van het andere (ongeveer een week oudere) GandCrab-voorbeeld in de open directory. Dus hoewel dit geen bijzonder massale of wijdverbreide aanval is, vormt het wel een serieus risico voor MySQL-serverbeheerders die een gat door de firewall hebben geprikt zodat poort 3306 op hun databaseserver bereikbaar is voor de buitenwereld”
Het is geruststellend om op te merken dat ervaren MySQL-serverbeheerders hun servers zelden verkeerd configureren, of, erger nog, hun databases zonder wachtwoorden achterlaten. Echter, dergelijke gevallen zijn niet ongewoon. Blijkbaar lijkt het doel van de aanhoudende scans de opportunistische exploitatie van verkeerd geconfigureerde systemen of databases zonder wachtwoorden.