Спецпроекты

Живучий шифровальщик загадочно переключился с ОС Windows на СУБД MySQL

2886
ПО Безопасность Бизнес

Эксперты обнаружили атаки шифровальщиков на серверы с применением SQL-команд. Пока не ясно до конца, используются ли серверы в качестве промежуточных звеньев или являются основными целями злоумышленников.

Стандартный порт

Крайне живучий и очень популярный у киберпреступников шифровальщик GandCrab, ранее замеченный, в частности, в поражении ОС Windows, обзавелся новой функциональностью и начал атаковать базы данных MySQL.

Эксперты Sophos Labs с помощью одной из своих honeypot-ловушек выявили проникновение шифровальщика через порт 3306/tcp, стандартный для серверов баз данных на основе SQL (MySQL, в частности).

Злоумышленники используют SQL-команды для загрузки DLL, нескольких небольших файлов, а в конечном итоге и сам шифровальщик на серверы.

«Источник атаки вполне ясен, — отмечает ведущий эксперт Sophos Эндрю Брандт (Andrew Brandt). — Частью проблемы является тот факт, что администратор может не мониторить сервер базы данных на предмет того, какие еще действия этот сервер может предпринимать (помимо того, чтобы хостить базу данных). Серверы — это не те устройства, которые "настроил и забыл", и данная ситуация служит тому примером».

Не первый и не последний раз

Брандт и ранее сталкивался с атаками, направленными SQL. В данном случае внимание исследователя обратил на себя тот факт, что некоторые вредоносные программы, используемые атакующими, вызываются с удаленного сервера, предположительно располагающегося в США, и что часть этих программ имеет графический интерфейс с текстовой частью на китайском.

haker600_1.jpg
Шифровальщик GandCrab начал атаковать серверы с MySQL

Брандт также отметил, что атака может использовать MySQL-сервер, но совершенно не обязательно нацелена на него. Злоумышленников, похоже, вообще мало интересует, что именно хранится в целевой системе. Впрочем, honeypot-ловушки, выдающие себя за серверы, и не позволяют потенциальным злоумышленникам производить особо большое количество операций. Ловушка допускает выполнение SQL-команд и закачивание исполняемого файла, но и не более того. Поэтому точно определить, является ли сервер объектом атаки или просто промежуточным звеном, довольно сложно.

Брандт предполагает, что этот метод атак может получить значительное распространение, если покажет свою эффективность. Лицензионная модель GandCrab сформулирована так, чтобы шифровальщиком могли пользовать киберзлоумышленники самого разного уровня технической подготовки, в том числе те, кто вообще мало чего понимает в программном коде. Последние предпочтут работать «на всем готовеньком», то есть будут использовать автоматизированный метод атаки, показавший свою эффективность.

Что касается защиты, то Брандт рекомендует использовать отличный от стандартного SQL-порт, однако единственным эффективным способом защиты является применение надежных паролей для административных аккаунтов и VPN-соединений для любых приложений, требующих прямого подключения к серверу базы данных.

«Сервер заведомо является куда более лакомым куском для злоумышленников, нежели рядовой компьютер, а сервер с базой данных в особенности, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Вероятность того, что владельцы сервера готовы будут платить выкуп, особенно если нет резервных копий, куда выше, чем в случае с рядовыми пользователями, атакованными шифровальщиками».

Персона месяца

Власти Петербурга переходят на рыночную модель цифровизации

Денис Чамара

ИТ-директор Санкт-Петербурга

Взгляд месяца

Перспектива умного контроля над бизнесом ближе, чем кажется

Савва Шипов

Замминистра Минэкономразвития