Hacker missbrauchen MySQL-Server für Ransomware

Mindestens eine chinesische Hacking-Crew scannt derzeit das Internet nach Windows-Servern, die MySQL-Datenbanken betreiben, damit sie diese Systeme mit der GandCrab-Ransomware infizieren können. Diese Angriffe sind etwas einzigartig, da Cybersicherheitsfirmen bisher keinen Bedrohungsakteur gesehen haben, der MySQL-Server unter Windows angegriffen hat, um sie mit Ransomware zu infizieren.

Andrew Brandt, Principal Researcher bei Sophos, und derjenige, der diese neuen Angriffe in den Logs eines Honeypots entdeckt hat, beschrieb sie als "eine zufällige Entdeckung". Der Forscher hat heute einen Blogbeitrag auf der Sophos Website veröffentlicht, der diese neue Scan-Aktivität und ihre Nutzlast beschreibt.

Angreifer zielen auf falsch konfigurierte MySQL Datenbankserver

Brandt sagte, dass Hacker nach internetfähigen MySQL-Datenbanken suchen würden, die SQL-Befehle akzeptieren würden, prüfen, ob der zugrunde liegende Server unter Windows ausgeführt werden würde, und dann bösartige SQL-Befehle verwenden würden, um eine Datei auf den exponierten Servern zu speichern, die sie später ausführen würden und den Host mit der GandCrab-Ransomware infizieren würden.

Während die meisten Systemadministratoren ihre MySQL-Server typischerweise mit Passwörtern schützen, schien der Zweck dieser Scans die opportunistische Nutzung falsch konfigurierter oder passwortfreier Datenbanken zu sein.

Laut Brandt schienen die Hacker ziemlich erstaunlich zu sein, wenn auch nicht ganz klar, ob sie erfolgreich waren.

Der Sophos-Forscher verfolgte diese Angriffe auf einen Remote-Server zurück, der über ein offenes Verzeichnis mit Serversoftware namens HFS verfügte, das Download-Statistiken für die bösartigen Nutzlasten des Angreifers offenlegte.

"Der Server scheint mehr als 500 Downloads des Beispiels anzuzeigen, das ich beim MySQL Honeypot Download (3306-1.exe) gesehen habe. Die Samples mit den Namen 3306-2.exe, 3306-3.exe und 3306-4.exe sind jedoch identisch mit dieser Datei", sagte Brandt.

"Zusammengenommen gab es in den fünf Tagen seit ihrer Veröffentlichung auf diesem Server fast 800 Downloads, sowie mehr als 2300 Downloads des anderen (etwa eine Woche älteren) GandCrab-Samples im offenen Verzeichnis.

"Dies ist zwar kein besonders massiver oder weit verbreiteter Angriff, stellt aber ein ernsthaftes Risiko für MySQL-Serveradministratoren dar, die ein Loch durch die Firewall gestoßen haben, damit Port 3306 auf ihrem Datenbankserver für die Außenwelt erreichbar ist", sagte er.

Wie Brandt betont, sind diese Arten von Angriffen sehr selten. Hackergruppen scannen in der Regel nach Datenbankservern, um Unternehmen zu infiltrieren und ihre Daten oder ihr geistiges Eigentum zu stehlen oder Krypto-Mining-Malware zu entwickeln. Fälle, in denen eine Hackergruppe Ransomware einsetzt, sind selten.