黑客正在扫描MySQL服务器以部署GandCrab勒索软件

至少有一名中国黑客工作人员正在为运行MySQL数据库的Windows服务器扫描互联网，以便他们可以使用GandCrab勒索软件感染这些系统。这些攻击有点独特，因为网络安全公司直到现在还没有看到任何威胁演员攻击在Windows系统上运行的MySQL服务器以使用勒索软件感染它们。Sophos的首席研究员Andrew Brandt以及在蜜罐日志中发现这些新攻击的人在一封发给ZDNet的电子邮件中称其为“偶然的发现”。研究人员今天在Sophos网站上发布了一篇博客文章，详细介绍了这一新的扫描活动及其有效载荷。

攻击者瞄准罕见但多汁，暴露的MYSQL数据库

Brandt说，黑客会扫描可以接受SQL命令的互联网可访问MySQL数据库，检查基础服务器是否可以在Windows上运行，然后使用恶意SQL命令在暴露的服务器上植入文件，这些文件将在以后执行，感染主机与GandCrab勒索软件。

虽然大多数系统管理员通常使用密码保护他们的MySQL服务器，但这些扫描的目的似乎是错误配置或无密码数据库的机会性利用。

Brandt认为，黑客似乎非常惊人，但如果成功则不完全清楚。

Sophos研究人员将这些攻击追溯到一个远程服务器，该服务器有一个运行服务器软件HFS的开放目录，它暴露了攻击者恶意负载的下载统计数据。

“服务器似乎表示我看到MySQL蜜罐下载(3306-1.exe)的样本下载次数超过500次。但是，样本名为3306-2.exe，3306-3.exe和3306-4.exe与该档案相同，“布兰特说。

“计算在一起，自从他们被放置在这台服务器上的五天内，已有近800次下载，以及在开放目录中超过2300次下载其他(大约一周之前)的GandCrab示例。

“因此，虽然这不是特别大规模或广泛的攻击，但它确实给MySQL服务器管理员带来了严重的风险，他们在数据库服务器上为端口3306通过防火墙打了一个洞，外部世界可以访问，”他说。

正如Brandt所指出的，这些类型的攻击非常罕见。黑客团体通常扫描数据库服务器渗透到企业和窃取他们的数据或知识产权，或来厂加密采矿恶意软件[1，2]。

黑客组织部署勒索软件的实例很少见。