GandCrab приходит через взлом MySQL

27 мая 2019 г., понедельник

Эксперты наблюдают всплеск сканов TCP-порта 3306 в рамках новой кампании по распространению шифровальщика.

Злоумышленники проводят сканирование TCP-порта 3306 в поисках уязвимых серверов MySQL для установки шифровальщика GandCrab. По данным Sophos, в рамках текущей кампании вредоносная программа была растиражирована в Сети более 3 тыс. раз.

Отыскав в Интернете защищенный слабым паролем или плохо сконфигурированный сервер, автор атаки с помощью команд SQL загружает на него вспомогательную DLL-библиотеку, создавая новую функцию базы данных. При вызове этой функции на машину с канадского IP-адреса загружается GandCrab.

Исследователям удалось добраться до хранилища вредоносных файлов — им оказался небольшой сервер HFS (HTTP File Server) в Аризоне. Примечательно, что пользовательский интерфейс программы публикации файлов оказался оформленным на китайском языке. Находка позволила выявить статистику загрузок GandCrab. В открытой директории на HFS-сервере числились пять исполняемых файлов шифровальщика. Четыре из них с одинаковым содержимым на момент обнаружения были суммарно скачаны около 800 раз, пятый (другой образец GandCrab) — более 2300 раз.

Папка также содержала исполняемый файл ELF, именуемый RDP, — по всей видимости, это один из многочисленных Linux-зловредов, предназначенных для проведения DDoS-атак. В текущей кампании он не используется.

«Хотя масштабы атак невелики, они составляют серьезную угрозу для MySQL-серверов, администраторы которых продырявили защитный экран, чтобы открыть внешний доступ к порту 3306», — цитирует репортер ZDNet письменный комментарий представителя Sophos. Эксперты советуют отказаться от этой порочной практики и использовать VPN или SSH для удаленных соединений, а также настоять на обязательной двухфакторной аутентификации. Пароль для SQL-сервера не должен легко угадываться, даже если тот доступен только из внутренней сети, а разрешения на загрузку новых плагинов следует выдавать лишь при наличии соответствующих прав.

Threatpost