Злоумышленники сканируют серверы MySQL для установки вымогателя GandCrab

Эксперты компании Sophos зафиксировали весьма необычные атаки: как минимум одна китайская хак-группа сканирует интернет в поисках уязвимых Windows-серверов с MySQL на борту, чтобы заразить их шифровальщиком GandCrab. Исследователи называют эту кампанию уникальной, так как ранее установки MySQL, работающие на Windows-серверах, никогда не подвергались атакам с целью заражения вымогательским ПО. Чаще хакеры ищут и атакуют БД с целью похитить данные конкретных компаний или разместить на серверах майнинговую малварь.

По данным экспертов, злоумышленники ищут незащищенные паролем или неправильно настроенные серверы. Атакующие проверяют, принимает ли найденная база команды SQL, работает ли она на сервере под Windows, а затем пытаются использовать вредоносные команды SQL для заражения хоста шифровальщиком GandCrab.

HFS на сервере атакующих

Исследователям удалось обнаружить, что за последние дни образцы GandCrab были загружены с сервера злоумышленников более 3000 раз. То есть с точностью можно сказать, что эти атаки не слишком масштабны, однако об их успешности или неуспешности аналитики Sophos пока судить не берутся и отмечают, что жертвами, похоже, становятся лишь те администраторы, которые сами открыли порт 3306 для доступа к своей БД извне.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.