Китайские хакеры идут к старой цели, но необычным путем. Как сообщают эксперты компании Sophos, злоумышленники сканируют интернет в поисках уязвимых Windows-серверов с MySQL на борту, чтобы заразить их шифровальщиком GandCrab.
В своем роде эта кампания уникальна, т.к. ранее установки MySQL, работающие на Windows-серверах, никогда не подвергались атакам с целью заражения вымогательским ПО. Китайцы ищут незащищенные паролем или неправильно настроенные серверы с помощью автоматики, затем проверяют, принимает ли найденная база команды SQL, работает ли она на сервере под Windows, а затем пытаются использовать вредоносные команды SQL для заражения хоста шифровальщиком GandCrab.
Эксперты говорят, что атака «не слишком масштабна», и за последние дни образцы GandCrab были загружены с сервера злоумышленников «всего лишь» около 3000+ раз. С наибольшей вероятностью жертвами кибератаки становятся администраторы, которые сами открыли порт 3306 для доступа к своей БД извне.
АКБ ранее подробно писало про этого злобного краба . С начала года его активность неумолимо растет, и хотя уже разработан дешифровщик специально для всех версий этой малвари, хакеры устроили гонки с его разработчиками, постоянно обновляя вредоносное ПО.
В феврале этого года специалисты компании Huntress Labs предупредили, что операторы вымогателя GandCrab обратили свое внимание на поставщиков управляемых услуг (Managed services providers, MSP) и через них заражают машины пользователей. Для этого они используют уязвимость двухлетней давности в плагине Kaseya, предназначенном для ПО ConnectWise Manage. Небольшие компании, работающие в сфере MSP, часто используют эти инструменты для удобства централизации данных клиентов, чтобы управлять рабочими станциями из центральной удаленной локации.
В ноябре 2017 года была обнаружена уязвимость перед SQL-инъекциями (CVE-2017-18362), которая позволяет атакующему создать новый аккаунт администратора в основном приложении Kaseya. Хотя уже тогда была выпущена заплатка, многие пользователи не озаботились ее установкой. В результате кампания по заражению GandCrab, которая началась в январе 2019 года, поначалу была очень успешной. К примеру, на Reddit был описан случай, когда компрометация небольшого MSP привела к заражению 80 пользовательских машин шифровальщиком GandCrab. Этот случай был подтвержден специалистами Huntress Lab. Также в социальных сетях можно найти и другие сообщения о похожих атаках, где говорится уже о 1500 пострадавших.
АКБ также напоминает, что GandCrab обошел другие программы-вымогатели по результатам 2018 года, заразив, по самым скромным подсчетам, более 500 тысяч жертв.
