Hacker greifen MySQL-Server mit GandCrab-Ransomware an

Sie suchen nach ungesicherten Datenbanken, die unter Windows laufen. Die Schadsoftware schleusen sie über spezielle SQL-Befehle ein. Laut Sophos sind Ransomware-Angriffe auf MySQL sehr selten.

Sophos hat erstmals eine Hackergruppe entdeckt, die gezielt mit Ransowmare gegen Windows-Systeme vorgeht, auf denen MySQL Server läuft. Hinweise auf die Aktivitäten der mutmaßlich aus China stammenden Gruppe fanden die Sicherheitsforscher in einer Log-Datei eines sogenannten Honeypots, der Cyberkriminelle anlocken soll. Ziel ist es demnach, die Systeme mit GandCrab zu infizieren.

MySQL Logo (Bild: MySQL)In einem Blogeintrag beschreibt Andrew Brandt, Principal Researcher bei Sophos, dass die unbekannten Täter nach MySQL-Datenbanken suchen, die über das Internet zugänglich sind und SQL-Befehle annehmen. Läuft auf dem Server außerdem Windows, nutzen sie spezielle SQL-Befehle, um eine Datei einschleusen, die später ausgeführt wird und dann den Server mit GandCrab infiziert.

Die Scans haben offenbar nur das Ziel, falsch konfigurierte oder gar Passwort-lose Datenbanken aufzuspüren. Obwohl Administratoren ihre Datenbanken in der Regel mit einem Kennwort schützen, scheint dies nicht immer der Fall zu sein.

Die Scans konnte Sophos zu einem entfernten Server zurückverfolgen. Darauf fanden die Forscher ein offenes Verzeichnis, in dem eine Server-Software namens HFS ausgeführt wird. Sie wiederum gab Daten über die Verbreitung der Schadsoftware der Gruppe preis.

Das Malware-Muster, das Brandt in seinem Honeypot fand (3306-1.exe) wurde demnach mehr als 500-mal heruntergeladen. Bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04-exe soll es sich um die identische Schadsoftware handeln. Damit kommt Brandt auf mehr als 800 Malware-Downloads in fünf Tagen. Darüber hinaus wurde ein anderes Muster von GandCrab mehr als 2300-mal heruntergeladen.

„Auch wenn dies keine besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist“, ergänzte Brandt.

Derartige Angriffe seien aber sehr selten, so Brandt weiter. In der Regel seien Angreifer darauf aus, Unternehmensdatenbanken oder geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Fälle, in denen Hacker eine Erpressersoftware installierten, seien ungewöhnlich.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Themenseiten: Cybercrime, Malware, Ransomware, SQL, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker greifen MySQL-Server mit GandCrab-Ransomware an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *