MySQL
Specializovaná skupina hackerů spouští poměrně zjednodušené, ale trvalé vyhledávání databází MySQL. Zranitelné databáze jsou poté zaměřeny na instalaci ransomwaru. Správci serveru MySQL, kteří potřebují vzdálený přístup ke svým databázím, musí být mimořádně opatrní.
Hackeři neustále vyhledávají na internetu. Tito hackeři, o nichž se předpokládá, že se nacházejí v Číně, hledají servery Windows se spuštěnými databázemi MySQL. Skupina to evidentně plánuje infikovat tyto systémy ransomwarem GandCrab .
Ransomware je sofistikovaný software, který uzamkne skutečného vlastníka souborů a požaduje platbu za zaslání digitálním klíčem. Je zajímavé poznamenat, že firmy zabývající se kybernetickou bezpečností dosud neviděly žádné aktéry ohrožení, kteří by napadli servery MySQL běžící na systémech Windows, zejména aby je infikovaly ransomwarem. Jinými slovy, je neobvyklé, že hackeři hledají zranitelné databáze nebo servery a instalují škodlivý kód. Obvyklou běžnou praxí je systematický pokus o krádež dat při pokusu vyhnout se detekci.
Nejnovější pokus procházet internet a hledat zranitelné databáze MySQL běžící na systémech Windows odhalil Andrew Brandt, hlavní výzkumný pracovník společnosti Sophos. Podle Brandta se zdá, že hackeři skenují internetové databáze MySQL, které by přijímaly příkazy SQL. Parametry vyhledávání zkontrolují, zda v systémech běží operační systém Windows. Po nalezení takového systému poté hackeři pomocí škodlivých příkazů SQL umístí soubor na exponované servery. Jakmile je infekce úspěšná, bude později použita k hostování ransomwaru GandCrab.
Tyto nejnovější pokusy se týkají, protože výzkumníkovi společnosti Sophos se podařilo vysledovat je zpět na vzdálený server, který by mohl být jedním z několika. Server měl evidentně otevřený adresář se spuštěným serverovým softwarem s názvem HFS, což je typ souborového serveru HTTP. Software nabídl statistiky o škodlivých nákladech útočníka.
Na základě těchto zjištění Brandt řekl: „Zdá se, že server indikuje více než 500 stažení ukázky, kterou jsem viděl stažení honeypotu MySQL (3306-1.exe). Ukázky s názvem 3306-2.exe, 3306-3.exe a 3306-4.exe jsou však identické s tímto souborem. Dohromady bylo za pět dní od umístění na tento server zaznamenáno téměř 800 stažení, stejně jako více než 2300 stažení druhého (přibližně o týden staršího) vzorku GandCrab v otevřeném adresáři. I když to není nijak zvlášť masivní nebo rozšířený útok, představuje to vážné riziko pro správce serveru MySQL, kteří prolomili díru přes bránu firewall pro port 3306 na svém databázovém serveru, aby byl dosažitelný vnějším světem “
Je uklidňující poznamenat, že zkušení administrátoři serveru MySQL zřídka špatně konfigurují své servery, nebo v nejhorším případě nechávají své databáze bez hesel. Nicméně, takové případy nejsou neobvyklé . Účelem trvalých prohledávání se zjevně zdá být oportunistické využívání nesprávně nakonfigurovaných systémů nebo databází bez hesel.
![[Oprava] Konfiguraci Thunderbirdu nelze ověřit](https://jf-balio.pt/img/how-tos/70/thunderbird-configuration-could-not-be-verified.png)
