資安研究人員發現有大量突發的攻擊事件,鎖定執行 MySQL 資料庫的 Windows 伺服器,透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現,會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫,並確認資料庫是否運行於 Windows 作業系統,然後執行惡意的 SQL 指令上傳檔案,擷取並協助執行勒索病毒。
發現這種入侵手法的資安研究員發現,這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆,並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器,這是 MySQL 預設使用的連接埠。
該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多,但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術,據報市佔率超過 50%。
[延伸閱讀:深層網路提供勒索軟體即服務?這對企業有何影響?]
GandCrab 本身使用不同的攻擊媒介,因為這項軟體最初是使用 Rig 及 GrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告,透過新開發的漏洞攻擊套件傳遞勒索軟體,例如 Fallout、JavaScript malware 及 spam attachments。透過種類廣泛的攻擊媒介,這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列。
繼續閱讀
