30.05.2019
Уязвимые сервера MySQL пропускают установку шифровальщика GandCrab
Найдя уязвимый в конфигурации сервер MySQL со слабым паролем, злоумышленник с помощью команд SQL загружает на него вспомогательную DLL-библиотеку, создавая новую функцию базы данных. Вызвав эту функцию, на компьютер с канадского IP-адреса будет загружен вредоносный код GandCrab.
«Хотя масштабы атак невелики, они составляют серьезную угрозу для MySQL-серверов, администраторы которых продырявили защитный экран, чтобы открыть внешний доступ к порту 3306», — цитирует репортер ZDNet письменный комментарий представителя Sophos. Эксперты советуют отказаться от этой порочной практики и использовать VPN или SSH для удаленных соединений, а также настоять на обязательной двухфакторной аутентификации. Пароль для SQL-сервера не должен легко угадываться, даже если тот доступен только из внутренней сети, а разрешения на загрузку новых плагинов следует выдавать лишь при наличии соответствующих прав.
Информация о вредоносном коде
«GandCrab — самая известная программа-вымогатель в 2018 году. По нашим данным, ее авторам удалось охватить огромное количество устройств»,— отметил руководитель по исследованию безопасности компании Check Point Янив Балмас (Yaniv Balmas).
«GandCrab — вымогатель, требующий доработки, однако отлично справляется со своими задачами. Например, еще недавно программа непреднамеренно оставляла локальные копии секретного ключа расшифровки RSA на компьютере жертвы. Это как если бы кто-то закрыл вашу квартиру, но оставил дубликат ключа под ковриком у двери»,— пишут авторы отчета Check Point.
Исследователи обнаружили еще один недостаток: ключ RSA можно увидеть и в интернет-трафике. Для его шифровки используется один и тот же пароль, встроенный во вредоносный код. Однако, по мнению экспертов, скоро авторы GandCrab исправят и эту ошибку.
Источник: threatpost.ru