MySQL
Namjenska skupina hakera izvodi prilično pojednostavljeno, ali uporno traženje MySQL baza podataka. Tada su ranjive baze podataka ciljane za instaliranje ransomwarea. Administratori MySQL poslužitelja koji trebaju pristup svojim bazama podataka moraju biti izuzetno oprezni.
Hakeri neprestano pretražuju internet. Ovi hakeri, za koje se vjeruje da se nalaze u Kini, traže Windows poslužitelje koji koriste MySQL baze podataka. Očito je da grupa to planira zaraziti ove sustave GandCrab ransomwareom .
Ransomware je sofisticirani softver koji zaključava pravog vlasnika datoteka i zahtijeva plaćanje za slanje putem digitalnog ključa. Zanimljivo je primijetiti da tvrtke za kibernetsku sigurnost do sada nisu vidjele nijednog aktera prijetnje koji je napao MySQL poslužitelje koji rade na Windows sustavima, posebno da ih zarazi ransomwareom. Drugim riječima, neobično je da hakeri idu u potragu za ranjivim bazama podataka ili poslužiteljima i instaliraju zlonamjerni kod. Uobičajena praksa koja se obično promatra je sustavni pokušaj krađe podataka dok se pokušava izbjeći otkrivanje.
Posljednji pokušaj puzanja po Internetu u potrazi za ranjivim MySQL bazama podataka koje rade na Windows sustavima otkrio je Andrew Brandt, glavni istraživač u Sophosu. Prema Brandtu, čini se da hakeri pretražuju internetsko dostupne MySQL baze podataka koje bi prihvatile SQL naredbe. Parametri pretraživanja provjeravaju imaju li sustavi Windows OS. Nakon pronalaska takvog sustava, hakeri zatim koriste zlonamjerne SQL naredbe za postavljanje datoteke na izložene poslužitelje. Jednom uspješna zaraza kasnije se koristi za hostiranje GandCrab ransomwarea.
Ovi su najnoviji pokušaji zabrinjavajući jer ih je istraživač Sophosa uspio pronaći na udaljenom poslužitelju koji je možda jedan od nekoliko. Očito je da je poslužitelj imao otvoreni direktorij na kojem je pokrenut poslužiteljski softver nazvan HFS, što je vrsta HTTP datotečnog poslužitelja. Softver je ponudio statistiku za zlonamjerni teret napadača.
Razrađujući nalaze, Brandt je rekao, „Čini se da poslužitelj ukazuje na više od 500 preuzimanja uzorka koji sam vidio kako se preuzima MySQL honeypot (3306-1.exe). Međutim, uzorci pod nazivom 3306-2.exe, 3306-3.exe i 3306-4.exe identični su toj datoteci. Prebrojano, u pet dana otkako su postavljeni na ovaj poslužitelj bilo je gotovo 800 preuzimanja, kao i više od 2300 preuzimanja drugog (otprilike tjedan dana starijeg) uzorka GandCraba u otvorenom direktoriju. Dakle, iako ovo nije posebno masovni ili rašireni napad, on predstavlja ozbiljan rizik za administratore MySQL poslužitelja koji su probušili rupu kroz vatrozid kako bi ulaz 3306 na njihovom poslužitelju baze podataka bio dostupan vanjskom svijetu “
Uvjerljivo je primijetiti da iskusni administratori MySQL poslužitelja rijetko pogrešno konfiguriraju svoje poslužitelje ili što je najgore, ostavljaju svoje baze podataka bez lozinki. Međutim, takvi slučajevi nisu rijetki . Čini se da se svrha trajnog skeniranja čini oportunističkim iskorištavanjem pogrešno konfiguriranih sustava ili baza podataka bez lozinki.
![[FIX] Integritet memorije izolacije jezgre ne uspijeva omogućiti](https://jf-balio.pt/img/how-tos/91/core-isolation-memory-integrity-fails-enable.jpg)
