Categories: SicherheitVirus

Hacker greifen MySQL-Server mit GandCrab-Ransomware an

Sophos hat erstmals eine Hackergruppe entdeckt, die gezielt mit Ransowmare gegen Windows-Systeme vorgeht, auf denen MySQL Server läuft. Hinweise auf die Aktivitäten der mutmaßlich aus China stammenden Gruppe fanden die Sicherheitsforscher in einer Log-Datei eines sogenannten Honeypots, der Cyberkriminelle anlocken soll. Ziel ist es demnach, die Systeme mit GandCrab zu infizieren.

In einem Blogeintrag beschreibt Andrew Brandt, Principal Researcher bei Sophos, dass die unbekannten Täter nach MySQL-Datenbanken suchen, die über das Internet zugänglich sind und SQL-Befehle annehmen. Läuft auf dem Server außerdem Windows, nutzen sie spezielle SQL-Befehle, um eine Datei einschleusen, die später ausgeführt wird und dann den Server mit GandCrab infiziert.

Die Scans haben offenbar nur das Ziel, falsch konfigurierte oder gar Passwort-lose Datenbanken aufzuspüren. Obwohl Administratoren ihre Datenbanken in der Regel mit einem Kennwort schützen, scheint dies nicht immer der Fall zu sein.

Die Scans konnte Sophos zu einem entfernten Server zurückverfolgen. Darauf fanden die Forscher ein offenes Verzeichnis, in dem eine Server-Software namens HFS ausgeführt wird. Sie wiederum gab Daten über die Verbreitung der Schadsoftware der Gruppe preis.

Das Malware-Muster, das Brandt in seinem Honeypot fand (3306-1.exe) wurde demnach mehr als 500-mal heruntergeladen. Bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04-exe soll es sich um die identische Schadsoftware handeln. Damit kommt Brandt auf mehr als 800 Malware-Downloads in fünf Tagen. Darüber hinaus wurde ein anderes Muster von GandCrab mehr als 2300-mal heruntergeladen.

„Auch wenn dies keine besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist“, ergänzte Brandt.

Derartige Angriffe seien aber sehr selten, so Brandt weiter. In der Regel seien Angreifer darauf aus, Unternehmensdatenbanken oder geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Fälle, in denen Hacker eine Erpressersoftware installierten, seien ungewöhnlich.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Neue Datenanalyse-Software für die Thüringer Polizei

Ob schnelles Bild zur Lage, kollaborative Ermittlung oder strategische Analysen auf Basis von polizeilichen Vorgängen:…

14 Stunden ago

US-Bundesstaat Arizona verklagt Google wegen Täuschung von Verbrauchern

Es geht um die Sammlung von Standortdaten. Der Generalstaatsanwalt von Arizona unterstellt eine fehlende Zustimmung…

15 Stunden ago

Poco F2 Pro: Xiaomi erhöht heimlich Preis um 100 Euro

Statt 499 Euro verlangt Xiaomi für das Poco F2 Pro nun 599,90 Euro. Das Unternehmen…

16 Stunden ago

Handelsstreit mit USA: Auslieferung von Huawei-CFO rückt näher

Der Supreme Court lehnt eine Einstellung des Auslieferungsverfahrens ab. Es sieht genug Anhaltspunkte für eine…

16 Stunden ago

Bug-Bounty-Plattform HackerOne gibt 100 Millionen Dollar für Sicherheitslücken aus

Für die ersten 20 Millionen Dollar benötigt das Unternehmen noch fünf Jahre. Danach kommen in…

19 Stunden ago

Forscher finden 26 USB-Bugs in Linux, Windows, macOS und FreeBSD

Sie entwickeln ein spezielles Fuzzing-Tool für USB-Treiber. Es emuliert ein USB-Gerät und erzeugt ungültige und…

20 Stunden ago