„MySQL“
Speciali įsilaužėlių grupė vykdo gana paprastą, bet atkaklią „MySQL“ duomenų bazių paiešką. Tada pažeidžiamose duomenų bazėse siekiama įdiegti išpirkos programą. „MySQL“ serverio administratoriai, kuriems reikia prieigos prie savo duomenų bazių nuotoliniu būdu, turi būti ypač atsargūs.
Įsilaužėliai nuosekliai ieško interneto. Šie įsilaužėliai, kurie, kaip manoma, yra Kinijoje, ieško „Windows“ serverių, kuriuose veikia „MySQL“ duomenų bazės. Grupė akivaizdžiai planuoja užkrėsti šias sistemas „GandCrab“ išpirkos programine įranga .
„Ransomware“ yra sudėtinga programinė įranga, kuri užrakina tikrąjį failų savininką ir reikalauja sumokėti už skaitmeninį raktą. Įdomu pažymėti, kad kibernetinio saugumo firmos iki šiol nematė nė vieno grėsmės veikėjo, kuris būtų atakavęs „MySQL“ serverius, veikiančius „Windows“ sistemose, kad ypač užkrėstų juos išpirkos programine įranga. Kitaip tariant, neįmanoma, kad įsilaužėliai ieško pažeidžiamų duomenų bazių ar serverių ir įdiegia kenksmingą kodą. Įprasta įprasta praktika yra sistemingas bandymas pavogti duomenis bandant išvengti aptikimo.
Paskutinį bandymą nuskaityti internete ieškant pažeidžiamų „MySQL“ duomenų bazių, veikiančių „Windows“ sistemose, atskleidė Andrew S Brandos, „Sophos“ vyriausiasis tyrėjas. Pasak Brandto, atrodo, kad įsilaužėliai ieško internete prieinamų „MySQL“ duomenų bazių, kurios priimtų SQL komandas. Paieškos parametrai patikrina, ar sistemose veikia „Windows OS“. Radę tokią sistemą, įsilaužėliai naudoja kenkėjiškas SQL komandas, kad pasodintų failą į veikiamus serverius. Sėkminga infekcija vėliau naudojama „GandCrab“ išpirkos programai priglobti.
Šie naujausi bandymai yra susiję su tuo, kad „Sophos“ tyrėjui pavyko juos susekti su nuotoliniu serveriu, kuris gali būti vienas iš kelių. Aišku, serveris turėjo atvirą katalogą, kuriame veikia serverio programinė įranga, vadinama HFS, kuri yra HTTP failų serverio tipas. Programinė įranga pateikė statistiką apie užpuoliko kenkėjiškus krovinius.
Remdamasis išvadomis, Brandtas sakė: „Atrodo, kad serveris nurodo daugiau nei 500 mėginio atsisiuntimų, kuriuos mačiau atsisiųsdamas„ MySQL honeypot “(3306-1.exe). Tačiau pavyzdžiai, pavadinti 3306-2.exe, 3306-3.exe ir 3306-4.exe, yra identiški tam failui. Skaičiuojant kartu, per penkias dienas, kai jie buvo patalpinti šiame serveryje, buvo atsisiųsta beveik 800 atsisiuntimų, taip pat daugiau nei 2300 atsisiuntimų kito (maždaug savaite senesnio) „GandCrab“ pavyzdžio atvirame kataloge. Taigi, nors tai nėra ypač masiška ar plačiai paplitusi ataka, tačiau ji kelia rimtą riziką „MySQL“ serverio administratoriams, kurie per duomenų bazės serverio 3306 uosto užkardą išmušė skylę, kad ją galėtų pasiekti išorinis pasaulis “.
Nuramina tai, kad patyrę „MySQL“ serverio administratoriai retai neteisingai sukonfigūruoja savo serverius, o blogiausia - palieka savo duomenų bazes be slaptažodžių. Tačiau tokie atvejai nėra reti . Akivaizdu, kad nuolatinių nuskaitymų tikslas yra oportunistinis netinkamai sukonfigūruotų sistemų ar duomenų bazių naudojimas be slaptažodžių.
