Хитрый краб-вымогатель ползет к вам в дом через MySQL

Опубликовано at 16:59
168 0

Китайские хакеры идут к старой цели, но необычным путем. Как сообщают эксперты компании Sophos, злоумышленники сканируют интернет в поисках уязвимых Windows-серверов с MySQL на борту, чтобы заразить их шифровальщиком GandCrab.

В своем роде эта кампания уникальна, т.к. ранее установки MySQL, работающие на Windows-серверах, никогда не подвергались атакам с целью заражения вымогательским ПО. Китайцы ищут незащищенные паролем или неправильно настроенные серверы с помощью автоматики, затем проверяют, принимает ли найденная база команды SQL, работает ли она на сервере под Windows, а затем пытаются использовать вредоносные команды SQL для заражения хоста шифровальщиком GandCrab.

Эксперты говорят, что атака «не слишком масштабна», и за последние дни образцы GandCrab были загружены с сервера злоумышленников «всего лишь» около 3000+ раз. С наибольшей вероятностью жертвами кибератаки становятся администраторы, которые сами открыли порт 3306 для доступа к своей БД извне.

АКБ ранее подробно писало про этого злобного краба. С начала года его активность неумолимо растет, и хотя уже разработан дешифровщик специально для всех версий этой малвари, хакеры устроили гонки с его разработчиками, постоянно обновляя вредоносное ПО.

В феврале этого года специалисты компании Huntress Labs предупредили, что операторы вымогателя GandCrab обратили свое внимание на поставщиков управляемых услуг (Managed services providers, MSP) и через них заражают машины пользователей. Для этого они используют уязвимость двухлетней давности в плагине Kaseya, предназначенном для ПО ConnectWise Manage. Небольшие компании, работающие в сфере MSP, часто используют эти инструменты для удобства централизации данных клиентов, чтобы управлять рабочими станциями из центральной удаленной локации.

В ноябре 2017 года была обнаружена уязвимость перед SQL-инъекциями (CVE-2017-18362), которая позволяет атакующему создать новый аккаунт администратора в основном приложении Kaseya. Хотя уже тогда была выпущена заплатка, многие пользователи не озаботились ее установкой. В результате кампания по заражению GandCrab, которая началась в январе 2019 года, поначалу была очень успешной. К примеру, на Reddit был описан случай, когда компрометация небольшого MSP привела к заражению 80 пользовательских машин шифровальщиком GandCrab. Этот случай был подтвержден специалистами Huntress Lab. Также в социальных сетях можно найти и другие сообщения о похожих атаках, где говорится уже о 1500 пострадавших.

АКБ также напоминает, что GandCrab обошел другие программы-вымогатели по результатам 2018 года, заразив, по самым скромным подсчетам, более 500 тысяч жертв.

Подписываемся, следим @CyberAgency

Related Post

Прощай, кибероружие

Опубликовано - 06.12.2017 0
В рамках программы «Цифровая экономика», утвержденной минувшим летом, российское правительство собирается предложить международному сообществу запретить кибероружие и разработать всемирную систему…

Фишеры соблазняют «подлинной скрываемой властями» причиной крушения эфиопского Boeing 737

Опубликовано - 20.03.2019 0
Исследователи из 360 Threat Intelligence Center сообщают о новой вполне спама, в которой злоумышленники эксплуатируют тему авиакатастроф. Вредоносные письма замаскированы…

Фейковые новости стали бизнес-моделью

Опубликовано - 17.11.2017 0
Киберпреступники превратили фейковые новости в прибыльную бизнес-модель. Согласно исследованию фирмы в области интернет-безопасности Digital Shadows, количество услуг, направленных на создание…