Hackers infecteren MySQL-databases met GandCrab ransomware

Een Chinese hackersgroep scant momenteel het internet op Windows-servers waarop MySQL-databases draaien. De hackers willen langs deze weg systemen infecteren met zogeheten GandCrab ransomware.

ZDnet noemt deze aanvallen enigszins uniek. Cyberbeveiligingsbedrijven hebben tot nu toe geen actoren gezien die een bedreiging vormen voor MySQL-servers op Windows-systemen om deze vervolgens met ransomware te infecteren. Andrew Brandt, hoofdonderzoeker bij Sophos, ontdekte de nieuwe aanvallen in de logboeken van een honeypot. Hij beschrijft de ontdekking dan ook als een toevalstreffer. 

Hackergroepen scannen meestal naar databaseservers om bedrijven te infiltreren en hun gegevens of intellectueel eigendom te stelen. Ook het installeren van crypto-mining-malware behoort tot de mogelijkheden. Gevallen waarbij een hackergroep ransomware gebruikt, zijn zeldzaam.

Exploitatie verkeerd geconfigureerde databases

Volgens Brandt zoeken de hackers naar internet-toegankelijke MySQL-databases, die SQL-commando’s zouden accepteren, controleren of de onderliggende server op Windows zou draaien. Vervolgens zouden ze kwaadwillige SQL-commando’s gebruiken om een bestand te planten op de blootgestelde servers, die ze later zouden uitvoeren. Bovendien wordt de host geïnfecteerd met de GandCrab ransomware. De hackers richten zich op de exploitatie van verkeerd geconfigureerde of wachtwoordloze databases, gezien de meeste systeembeheerders hun MySQL-servers doorgaans beschermen met wachtwoorden. 

HFS software

De onderzoeker zou de aanvallen hebben weten terug te traceren naar een externe server met een open directory running server software, genaamd HFS. Hierbij kwamen downloadstatistieken voor de schadelijke ladingen van de aanvaller bloot te liggen.

“De server lijkt meer dan 500 downloads van de sample aan te geven, die ik zag in de MySQL-honeypot-download (3306-1.exe). De samples met de namen 3306-2.exe, 3306-3.exe en 3306-4.exe zijn identiek aan dat bestand”, aldus Brandt. Volgens hem zijn er in vijf dagen tijd ruim 800 downloads geweest. Bovendien zijn er in de open directory meer dan 2300 downloads geweest van de GandCrab-sample. “Hoewel dit geen bijzonder massale of wijdverspreide aanval is, vormt het een ernstig risico voor MySQL-serverbeheerders, die om welke reden dan ook een gat in de firewall hebben gestopt. Het gaat dan om poort 3306 op hun databaseserver die bereikbaar is voor de buitenwereld.”

Lees ook: Microsoft waarschuwt voor ernstig lek en patcht Windows XP