Un grupo dedicado de hackers está ejecutando una búsqueda bastante simplista pero persistente de bases de datos MySQL
Las bases de datos vulnerables se dirigen a la instalación de ransomware. Los administradores del servidor MySQL que necesitan acceso a sus bases de datos de forma remota deben ser extremadamente cautelosos.
Los hackers están ejecutando una búsqueda consistente a través de Internet. Estos piratas informáticos, que se cree que están ubicados en China, están buscando servidores Windows que ejecuten bases de datos MySQL. El grupo evidentemente planea infectar estos sistemas con el ransomware GandCrab.
Ransomware es un software sofisticado que bloquea al verdadero propietario de los archivos y exige el pago para enviarlo a través de una clave digital. Es interesante observar que las empresas de seguridad cibernética no han visto ningún actor de amenazas hasta ahora que haya atacado a los servidores MySQL que se ejecutan en sistemas Windows, en particular para infectarlos con ransomware. En otras palabras, no es común que los piratas informáticos busquen bases de datos o servidores vulnerables e instalen códigos maliciosos. La práctica normal comúnmente observada es un intento sistemático de robar datos al intentar evadir la detección.
Andrew Brandt, investigador principal de Sophos, descubrió el último intento de rastrear a través de Internet en busca de bases de datos MySQL vulnerables que se ejecutan en sistemas Windows. Según Brandt, los piratas informáticos parecen estar buscando bases de datos MySQL con acceso a Internet que acepten comandos SQL. Los parámetros de búsqueda comprueban si los sistemas ejecutan el sistema operativo Windows. Al encontrar dicho sistema, los piratas informáticos usan comandos SQL maliciosos para plantar un archivo en los servidores expuestos. La infección, una vez que tuvo éxito, se usa en una fecha posterior para albergar el ransomware GandCrab.
These latest attempts are concerning because the Sophos researcher managed to trace them back to a remote server that just might be one of several. Evidently, the server had an open directory running server software called HFS, which is a type of HTTP File Server. The software offered statistics for the attacker’s malicious payloads.
Al elaborar los hallazgos, Brandt dijo: "El servidor parece indicar más de 500 descargas de la muestra. Vi la descarga de MySQL honeypot (3306-1.exe). Sin embargo, las muestras denominadas 3306-2.exe, 3306-3.exe y 3306-4.exe son idénticas a ese archivo. En total, ha habido casi 800 descargas en los cinco días desde que se colocaron en este servidor, así como más de 2300 descargas de la otra muestra de GandCrab (aproximadamente una semana más antigua) en el directorio abierto. Entonces, si bien este no es un ataque especialmente masivo o generalizado, representa un grave riesgo para los administradores de servidores MySQL que han abierto un agujero en el servidor de la base de datos para que el puerto 3306 pueda acceder al puerto 3306 de su servidor de base de datos ".
Es tranquilizador tener en cuenta que los administradores de servidores MySQL experimentados rara vez configuran mal sus servidores o, lo que es peor, dejan sus bases de datos sin contraseñas. Sin embargo, tales casos no son infrecuentes . Aparentemente, el propósito de los análisis persistentes parece ser la explotación oportunista de sistemas o bases de datos mal configurados sin contraseñas.
Fecha actualización el 2021-05-27. Fecha publicación el 2019-05-27. Categoría: Ransomware Autor: Oscar olg Mapa del sitio Fuente: appuals Version movil