Hacker greifen MySQL-Server mit GandCrab-Ransomware an

Sophos hat erstmals eine Hackergruppe entdeckt, die gezielt mit Ransowmare gegen Windows-Systeme vorgeht, auf denen MySQL Server läuft. Hinweise auf die Aktivitäten der mutmaßlich aus China stammenden Gruppe fanden die Sicherheitsforscher in einer Log-Datei eines sogenannten Honeypots, der Cyberkriminelle anlocken soll. Ziel ist es demnach, die Systeme mit GandCrab zu infizieren.

In einem Blogeintrag beschreibt Andrew Brandt, Principal Researcher bei Sophos, dass die unbekannten Täter nach MySQL-Datenbanken suchen, die über das Internet zugänglich sind und SQL-Befehle annehmen. Läuft auf dem Server außerdem Windows, nutzen sie spezielle SQL-Befehle, um eine Datei einschleusen, die später ausgeführt wird und dann den Server mit GandCrab infiziert.

Die Scans haben offenbar nur das Ziel, falsch konfigurierte oder gar Passwort-lose Datenbanken aufzuspüren. Obwohl Administratoren ihre Datenbanken in der Regel mit einem Kennwort schützen, scheint dies nicht immer der Fall zu sein.

Die Scans konnte Sophos zu einem entfernten Server zurückverfolgen. Darauf fanden die Forscher ein offenes Verzeichnis, in dem eine Server-Software namens HFS ausgeführt wird. Sie wiederum gab Daten über die Verbreitung der Schadsoftware der Gruppe preis.

Das Malware-Muster, das Brandt in seinem Honeypot fand (3306-1.exe) wurde demnach mehr als 500-mal heruntergeladen. Bei den Varianten 3306-2.exe, 3306-03.xe und 3306-04-exe soll es sich um die identische Schadsoftware handeln. Damit kommt Brandt auf mehr als 800 Malware-Downloads in fünf Tagen. Darüber hinaus wurde ein anderes Muster von GandCrab mehr als 2300-mal heruntergeladen.

„Auch wenn dies keine besonders großer oder weit verbreiteter Angriff ist, ist er eine erhebliche Bedrohung für Server-Administratoren, die den Port 3306 ihrer Datenbank geöffnet haben, damit ihr Datenbank-Server von außen erreichbar ist“, ergänzte Brandt.

Derartige Angriffe seien aber sehr selten, so Brandt weiter. In der Regel seien Angreifer darauf aus, Unternehmensdatenbanken oder geistiges Eigentum aus MySQL-Datenbanken zu stehlen oder Kryptominer einzuschleusen. Fälle, in denen Hacker eine Erpressersoftware installierten, seien ungewöhnlich.