ฐานข้อมูล MySQL ถูกสแกนเพื่อติดไวรัส GandCrab Ransomware

กลุ่มแฮกเกอร์เฉพาะกำลังเรียกใช้การค้นหาฐานข้อมูล MySQL ที่ค่อนข้างเรียบง่าย แต่ต่อเนื่อง จากนั้นฐานข้อมูลที่มีช่องโหว่จะถูกกำหนดเป้าหมายสำหรับการติดตั้ง ransomware ผู้ดูแลระบบเซิร์ฟเวอร์ MySQL ที่ต้องการเข้าถึงฐานข้อมูลจากระยะไกลจะต้องเพิ่มความระมัดระวังเป็นพิเศษ

แฮกเกอร์กำลังทำการค้นหาที่สอดคล้องกันบนอินเทอร์เน็ต ซึ่งเชื่อกันว่าแฮกเกอร์เหล่านี้อยู่ในประเทศจีนกำลังมองหาเซิร์ฟเวอร์ Windows ที่ใช้ฐานข้อมูล MySQL เห็นได้ชัดว่ากลุ่มนี้กำลังวางแผนที่จะติดระบบเหล่านี้ด้วย GandCrab ransomware

Ransomware เป็นซอฟต์แวร์ที่มีความซับซ้อนซึ่งจะล็อกเจ้าของไฟล์ที่แท้จริงและเรียกร้องการชำระเงินเพื่อส่งผ่านคีย์ดิจิทัล เป็นเรื่องที่น่าสนใจที่ทราบว่า บริษัท รักษาความปลอดภัยทางไซเบอร์ยังไม่เห็นตัวแสดงภัยคุกคามใด ๆ จนถึงขณะนี้ที่โจมตีเซิร์ฟเวอร์ MySQL ที่ทำงานบนระบบ Windows โดยเฉพาะเพื่อติดไวรัส ransomware กล่าวอีกนัยหนึ่งก็คือเป็นเรื่องปกติที่แฮกเกอร์จะมองหาฐานข้อมูลหรือเซิร์ฟเวอร์ที่มีช่องโหว่และติดตั้งโค้ดที่เป็นอันตราย การปฏิบัติตามปกติที่สังเกตได้ทั่วไปคือความพยายามอย่างเป็นระบบในการขโมยข้อมูลในขณะที่พยายามหลบเลี่ยงการตรวจจับ

ความพยายามล่าสุดในการรวบรวมข้อมูลบนอินเทอร์เน็ตเพื่อค้นหาฐานข้อมูล MySQL ที่มีช่องโหว่ซึ่งทำงานบนระบบ Windows ถูกค้นพบโดย Andrew Brandt นักวิจัยหลักของ Sophos ตามที่ Brandt แฮกเกอร์ดูเหมือนจะกำลังค้นหาฐานข้อมูล MySQL ที่สามารถเข้าถึงอินเทอร์เน็ตได้ซึ่งจะยอมรับคำสั่ง SQL พารามิเตอร์การค้นหาตรวจสอบว่าระบบกำลังเรียกใช้ Windows OS หรือไม่ เมื่อพบระบบดังกล่าวแฮกเกอร์จึงใช้คำสั่ง SQL ที่เป็นอันตรายเพื่อสร้างไฟล์บนเซิร์ฟเวอร์ที่เปิดเผย การติดเชื้อซึ่งเมื่อสำเร็จแล้วจะถูกใช้ในภายหลังเพื่อโฮสต์ GandCrab ransomware

ความพยายามล่าสุดเหล่านี้เกี่ยวข้องเนื่องจากนักวิจัยของ Sophos สามารถติดตามพวกเขากลับไปยังเซิร์ฟเวอร์ระยะไกลซึ่งอาจเป็นหนึ่งในหลาย ๆ เห็นได้ชัดว่าเซิร์ฟเวอร์มีโอเพ่นไดเร็กทอรีที่เรียกใช้ซอฟต์แวร์เซิร์ฟเวอร์ที่เรียกว่า HFS ซึ่งเป็น HTTP File Server ประเภทหนึ่ง ซอฟต์แวร์นำเสนอสถิติสำหรับเพย์โหลดที่เป็นอันตรายของผู้โจมตี

เมื่ออธิบายถึงสิ่งที่ค้นพบ Brandt กล่าวว่า“ เซิร์ฟเวอร์ดูเหมือนจะระบุการดาวน์โหลดมากกว่า 500 ตัวอย่างที่ฉันเห็นการดาวน์โหลด MySQL honeypot (3306-1.exe) อย่างไรก็ตามตัวอย่างชื่อ 3306-2.exe, 3306-3.exe และ 3306-4.exe จะเหมือนกับไฟล์นั้น เมื่อนับรวมกันแล้วมีการดาวน์โหลดเกือบ 800 ครั้งในช่วงห้าวันนับตั้งแต่วางบนเซิร์ฟเวอร์นี้และมีการดาวน์โหลด GandCrab มากกว่า 2300 ครั้ง (เก่ากว่าประมาณหนึ่งสัปดาห์) ในไดเร็กทอรีแบบเปิด ดังนั้นแม้ว่านี่จะไม่ใช่การโจมตีที่ใหญ่โตหรือแพร่หลายโดยเฉพาะ แต่ก็ก่อให้เกิดความเสี่ยงอย่างร้ายแรงต่อผู้ดูแลระบบเซิร์ฟเวอร์ MySQL ที่เจาะช่องโหว่ผ่านไฟร์วอลล์เพื่อให้พอร์ต 3306 บนเซิร์ฟเวอร์ฐานข้อมูลของตนไม่สามารถเข้าถึงได้โดยโลกภายนอก”

เป็นเรื่องที่มั่นใจได้ว่าผู้ดูแลระบบเซิร์ฟเวอร์ MySQL ที่มีประสบการณ์มักไม่ค่อยกำหนดค่าเซิร์ฟเวอร์ของตนผิดพลาดหรือแย่ที่สุดคือปล่อยฐานข้อมูลไว้โดยไม่มีรหัสผ่าน อย่างไรก็ตาม กรณีดังกล่าวไม่ใช่เรื่องแปลก. เห็นได้ชัดว่าจุดประสงค์ของการสแกนอย่างต่อเนื่องดูเหมือนจะเป็นการฉวยโอกาสหาประโยชน์จากระบบหรือฐานข้อมูลที่กำหนดค่าไม่ถูกต้องโดยไม่มีรหัสผ่าน

Facebook Twitter Google Plus Pinterest