MySQL
Specjalna grupa hakerów przeprowadza raczej uproszczone, ale trwałe wyszukiwanie baz danych MySQL. Wrażliwe bazy danych są następnie przeznaczone do instalowania oprogramowania ransomware. Administratorzy serwerów MySQL, którzy potrzebują zdalnego dostępu do swoich baz danych, muszą zachować szczególną ostrożność.
Hakerzy przeprowadzają spójne wyszukiwanie w Internecie. Ci hakerzy, prawdopodobnie zlokalizowani w Chinach, szukają serwerów Windows z bazami danych MySQL. Grupa ewidentnie planuje infekować te systemy ransomware GandCrab .
Ransomware to wyrafinowane oprogramowanie, które blokuje prawdziwego właściciela plików i żąda zapłaty za pomocą klucza cyfrowego. Warto zauważyć, że firmy zajmujące się bezpieczeństwem cybernetycznym do tej pory nie widziały żadnego podmiotu będącego zagrożeniem, który zaatakowałby serwery MySQL działające w systemach Windows, szczególnie w celu zainfekowania ich oprogramowaniem ransomware. Innymi słowy, hakerzy rzadko szukają wrażliwych baz danych lub serwerów i instalują złośliwy kod. Powszechnie obserwowaną praktyką jest systematyczna próba kradzieży danych w celu uniknięcia wykrycia.
Ostatnia próba przeszukiwania Internetu w poszukiwaniu podatnych na ataki baz danych MySQL działających w systemach Windows została odkryta przez Andrew Brandta, głównego badacza w Sophos. Według Brandta hakerzy wydają się skanować w poszukiwaniu dostępnych w Internecie baz danych MySQL, które akceptują polecenia SQL. Parametry wyszukiwania sprawdzają, czy systemy działają pod kontrolą systemu operacyjnego Windows. Po znalezieniu takiego systemu hakerzy używają złośliwych poleceń SQL, aby umieścić plik na ujawnionych serwerach. Infekcja, która raz się powiedzie, jest używana później do hostowania oprogramowania ransomware GandCrab.
Te ostatnie próby są niepokojące, ponieważ badaczowi Sophos udało się prześledzić je z powrotem na zdalnym serwerze, który może być jednym z kilku. Najwyraźniej serwer miał otwarty katalog z oprogramowaniem serwera zwanym HFS, który jest rodzajem serwera plików HTTP. Oprogramowanie oferowało statystyki dotyczące złośliwych ładunków atakującego.
Opierając się na wynikach, Brandt powiedział: „Wydaje się, że serwer wskazuje ponad 500 pobrań próbki. Widziałem pobieranie honeypota MySQL (3306-1.exe). Jednak próbki o nazwach 3306-2.exe, 3306-3.exe i 3306-4.exe są identyczne z tym plikiem. Podsumowując, w ciągu pięciu dni od umieszczenia ich na tym serwerze pobrano prawie 800 pobrań, a także ponad 2300 pobrań drugiej (około tydzień starszej) próbki GandCrab w otwartym katalogu. Więc chociaż nie jest to szczególnie masowy ani rozległy atak, stwarza poważne zagrożenie dla administratorów serwerów MySQL, którzy zrobili dziurę w zaporze ogniowej dla portu 3306 na serwerze bazy danych, aby był osiągalny dla świata zewnętrznego ”
Pocieszające jest to, że doświadczeni administratorzy serwerów MySQL rzadko błędnie konfigurują swoje serwery lub, co gorsza, pozostawiają bazy danych bez haseł. Jednak, takie przypadki nie są rzadkie . Najwyraźniej celem trwałych skanów wydaje się oportunistyczne wykorzystywanie źle skonfigurowanych systemów lub baz danych bez haseł.
![[FIX] Kod błędu Netflix NW-1-19 na Xbox One](https://jf-balio.pt/img/how-tos/93/netflix-error-code-nw-1-19-xbox-one.png)
