Sophos hat erstmals eine Hackergruppe entdeckt, die gezielt mit Ransowmare gegen Windows-Systeme vorgeht, auf denen MySQL Server läuft. Hinweise auf die Aktivitäten der mutmaßlich aus China stammenden Gruppe fanden die Sicherheitsforscher in einer Log-Datei eines sogenannten Honeypots, der Cyberkriminelle anlocken soll. Ziel ist es demnach, die Systeme mit GandCrab zu infizieren.
Die Scans haben offenbar nur das Ziel, falsch konfigurierte oder gar Passwort-lose Datenbanken aufzuspüren. Obwohl Administratoren ihre Datenbanken in der Regel mit einem Kennwort schützen, scheint dies nicht immer der Fall zu sein.
Die Scans konnte Sophos zu einem entfernten Server zurückverfolgen. Darauf fanden die Forscher ein offenes Verzeichnis, in dem eine Server-Software namens HFS ausgeführt wird. Sie wiederum gab Daten über die Verbreitung der Schadsoftware der Gruppe preis.
Das Malware-Muster, das Brandt in seinem Honeypot fand (3306-1.exe) wurde demnach mehr als 500-mal heruntergeladen. Bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04-exe soll es sich um die identische Schadsoftware handeln. Damit kommt Brandt auf mehr als 800 Malware-Downloads in fünf Tagen. Darüber hinaus wurde ein anderes Muster von GandCrab mehr als 2300-mal heruntergeladen.
„Auch wenn dies keine besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist“, ergänzte Brandt.
Derartige Angriffe seien aber sehr selten, so Brandt weiter. In der Regel seien Angreifer darauf aus, Unternehmensdatenbanken oder geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Fälle, in denen Hacker eine Erpressersoftware installierten, seien ungewöhnlich.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
