Pelo menos uma equipe chinesa de hackers está atualmente vasculhando a internet em busca de servidores Windows que estejam rodando bancos de dados MySQL, para que possam infectar esses sistemas com o ransomware GandCrab.
Esses ataques são um tanto exclusivos, já que as empresas de segurança cibernética ainda não viram nenhuma ameaça que tenha atacado os servidores MySQL em execução nos sistemas Windows para infectá-los com ransomware.
Andrew Brandt, pesquisador-chefe da Sophos, (que detectou esses novos ataques nos registros de um honeypot) descreveu que a descoberta foi feita por acaso.
O pesquisador publicou hoje uma postagem no blog do site da Sophos detalhando essa nova atividade de varredura e sua carga útil.
Os criminosos visam bancos de dados MySQL caros e expostos
Brandt disse que os hackers procuram por bancos de dados MySQL acessíveis pela Internet que aceitem comandos SQL, então verificam se o servidor é Windows e usaram comandos SQL maliciosos para plantar um arquivo servidores expostos, que seriam executados posteriormente, infectando o host com o ransomware GandCrab.
Enquanto a maioria dos administradores de sistemas tipicamente protege seus servidores MySQL com senhas, o propósito dessas varreduras parece ser a exploração oportunista de bancos de dados mal configurados ou sem senha.
De acordo com Brandt, os hackers pareciam ter sido bastante prodigiosos, embora não totalmente claro se foram bem sucedidos.
O pesquisador da Sophos rastreou esses ataques de a um servidor remoto, que tinha um software chamado HFS, que expunha as estatísticas de download das cargas maliciosas do invasor.
"O servidor parece indicar mais de 500 downloads do exemplo que vi no download do honeypot do MySQL (3306-1.exe). No entanto, os exemplos chamados 3306-2.exe, 3306-3.exe e 3306-4.exe são idênticos a esse arquivo ", disse Brandt.
"Contados juntos, houve quase 800 downloads nos cinco dias desde que eles foram colocados neste servidor, bem como mais de 2300 downloads do outro (cerca de uma semana mais antiga) amostra do GandCrab no diretório aberto.
"Portanto, embora este não seja um ataque massivo ou generalizado, representa um sério risco para os administradores de servidores MySQL", disse ele.
Como Brandt aponta, esses tipos de ataques são muito raros. Os grupos de hackers geralmente procuram servidores de banco de dados para se infiltrar em empresas e roubar seus dados ou propriedade intelectual
