Hackergruppe greift MySQL-Server mit Ransomware an
Ungesicherte Datenbanken, welche unter Windows laufen: Die Schadsoftware schleust sie über spezielle SQL-Befehle ein. Laut dem britischen Sicherheitssoftware Unternehmen Sophos kommen Ransomware-Angriffe auf MySQL sehr selten vor.
Das Unternehmen Sophos hat zum ersten Mal eine Hackergruppe entdeckt, die explizit mit Ransomware gegen Windows-Systeme agiert, auf denen MySQL Server läuft. Die Aktivitäten gehen mutmaßlich von einer aus China stammenden Gruppe aus, fanden Sicherheitsforscher mittels einer Log-Datei eines sogenannten Honeypots heraus. Das Ziel der Gruppe sei es demnach, die Systeme mit GandCrab zu infizieren.
Andrew Brandt, Principal Researcher bei Sophos, äußerte sich in einem Blogeintrag über den Angriff: Die unbekannten Täter würden nach MySQL-Datenbanken suchen, die über das Internet zugänglich sind und SQL-Befehle annehmen. Wenn zusätzlich auf dem Server Windows läuft, nutzen sie spezielle SQL-Befehle, um eine Datei einzuschleusen die später aufgeführt wird und dann den Server mit GandCrab infiziert. Dabei haben die Scans nur das Ziel, falsch konfigurierte oder gar passwortlose Datenbanken ausfindig zu machen. In der Regel schützen Administratoren ihre Datenbanken zwar mit einem Kennwort, jedoch scheint dies nicht immer der Fall zu sein.
Sophos konnte die Scans zu einem entfernten Server rückverfolgen. Die Sicherheitsforscher fanden darauf ein offenes Verzeichnis, in dem eine Server-Software "HFS" aufgeführt wird. Diese gab Daten über die Verbreitung der Ransomware der Gruppe preis.
Angriffe dieser Art sind selten
Im Blogeintrag äußerte sich Brandt außerdem zur Häufigkeit des Malware-Musters. In dem Honeypot (3306-1.exe) wurde demnach das Muster mehr als 500-mal heruntergeladen, bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04.exe soll es sich um die identische Schadsoftware handeln. Brandt kommt dabei auf mehr als 800 Malware-Downloads in fünf Tagen. Zudem wurde ein weiteres Muster von GandCrab mehr als 2300-mal heruntergeladen.
"Auch wenn dies kein besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist", fügte Brandt hinzu. Dennoch ergänzte er, dass derartige Angriffe sehr selten seien. Im Regelfall seien Angreifer darauf aus, Unternehmensdatenbanken, geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Die Installation einer Erpressersoftware sei vergleichsweise ungewöhnlich.
LG
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.
