Categories: SicherheitVirus

Hacker greifen MySQL-Server mit GandCrab-Ransomware an

Sophos hat erstmals eine Hackergruppe entdeckt, die gezielt mit Ransowmare gegen Windows-Systeme vorgeht, auf denen MySQL Server läuft. Hinweise auf die Aktivitäten der mutmaßlich aus China stammenden Gruppe fanden die Sicherheitsforscher in einer Log-Datei eines sogenannten Honeypots, der Cyberkriminelle anlocken soll. Ziel ist es demnach, die Systeme mit GandCrab zu infizieren.

In einem Blogeintrag beschreibt Andrew Brandt, Principal Researcher bei Sophos, dass die unbekannten Täter nach MySQL-Datenbanken suchen, die über das Internet zugänglich sind und SQL-Befehle annehmen. Läuft auf dem Server außerdem Windows, nutzen sie spezielle SQL-Befehle, um eine Datei einschleusen, die später ausgeführt wird und dann den Server mit GandCrab infiziert.

Die Scans haben offenbar nur das Ziel, falsch konfigurierte oder gar Passwort-lose Datenbanken aufzuspüren. Obwohl Administratoren ihre Datenbanken in der Regel mit einem Kennwort schützen, scheint dies nicht immer der Fall zu sein.

Die Scans konnte Sophos zu einem entfernten Server zurückverfolgen. Darauf fanden die Forscher ein offenes Verzeichnis, in dem eine Server-Software namens HFS ausgeführt wird. Sie wiederum gab Daten über die Verbreitung der Schadsoftware der Gruppe preis.

Das Malware-Muster, das Brandt in seinem Honeypot fand (3306-1.exe) wurde demnach mehr als 500-mal heruntergeladen. Bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04-exe soll es sich um die identische Schadsoftware handeln. Damit kommt Brandt auf mehr als 800 Malware-Downloads in fünf Tagen. Darüber hinaus wurde ein anderes Muster von GandCrab mehr als 2300-mal heruntergeladen.

„Auch wenn dies keine besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist“, ergänzte Brandt.

Derartige Angriffe seien aber sehr selten, so Brandt weiter. In der Regel seien Angreifer darauf aus, Unternehmensdatenbanken oder geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Fälle, in denen Hacker eine Erpressersoftware installierten, seien ungewöhnlich.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

17 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

18 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

22 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

23 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago