GandCrab 勒索病毒鎖定攻擊 MySQL 資料庫

資安研究人員發現有大量突發的攻擊事件,鎖定執行 MySQL 資料庫的 Windows 伺服器,透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現,會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫,並確認資料庫是否運行於 Windows 作業系統,然後執行惡意的 SQL 指令上傳檔案,擷取並協助執行勒索病毒。

發現這種入侵手法的資安研究員發現,這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆,並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器,這是 MySQL 預設使用的連接埠。

該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多,但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術,據報市佔率超過 50%

[延伸閱讀:深層網路提供勒索軟體即服務?這對企業有何影響?]

GandCrab 本身使用不同的攻擊媒介,因為這項軟體最初是使用 RigGrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告,透過新開發的漏洞攻擊套件傳遞勒索軟體,例如 FalloutJavaScript malwarespam attachments。透過種類廣泛的攻擊媒介,這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列

這項數據並不讓人驚訝,因為 GandCrab 的製作者據傳網路犯罪地下市場兜售這款勒索軟體;這表示除了漏洞攻擊套件及垃圾電子郵件以外,使用 GandCrab 的罪犯還可在其他媒介散佈自己的勒索軟體版本。網路罪犯最近鎖定攻擊的主機,都安裝了 Confluence 這款易受攻擊的協作軟體。

在 GandCrab 之前,曾有其他勒索軟體鎖定攻擊 MySQL 資料庫。像是惡名昭彰的 Ceber,也會鎖定資料庫程式並加密相關檔案。此外還有所謂的網路勒索活動鎖定安全不彰的 MongoDB 資料庫,這種攻擊會識別公開和可遠端存取的 MongoDB 資料庫,刪除其中內容,然後向主人勒索。

[相關新聞:MegaCortex 勒索病毒攻擊企業網路]

雖然勒索軟體並不如過去那麼氾濫,但 GandCrab 的最新活動顯示風險正持續升高。LockerGoga 及美國境內的個別資安事件顯示,越來越多的勒索軟體鎖定攻擊特定目標,造成了嚴重得多的衝擊。由於勒索軟體只需透過一個具有弱點的連結,就能感染企業的線上基礎架構,因此組織應採用深度防禦實務作法,例如定期備份資料;保持系統處於最新狀態並安裝修補程式;維護系統管理工具的使用安全;確保資料庫妥善設定。例如 MySQL 具有多項準則建議事項,說明如何維護其安全。

趨勢科技勒索病毒解決方案

企業能從解決方案的多層方法中受惠,減緩勒索軟體所帶來的風險。在端點層級, 趨勢科技 Smart Protection Suites 提供多項功能,例如高度擬真 (high-fidelity) 機器學習、行為監控、應用程式控制,以及漏洞防護等,皆可降低勒索軟體的影響。趨勢科技的Deep Discovery Inspector可偵測及封鎖網路上的勒索軟體,趨勢科技Deep Security 解決方案可阻止勒索軟體進入企業的實體、虛擬或雲端伺服器。趨勢科技Deep SecurityVulnerability Protection 漏洞防護 和 TippingPoint 提供虛擬修補方法,可保護端點抵抗威脅,避免尚未修補的弱點遭入侵而傳送勒索軟體。電子郵件及網站閘道解決方案,例如 Deep Discovery Email Inspector InterScan™ Web Security  可避免勒索軟體觸及一般使用者。

這些解決方案是以趨勢科技的XGen安全防護技術 為核心,提供跨世代的威脅防禦技術組合,協助端點網路伺服器以及閘道對抗各種威脅。具智慧、經過最佳化且可連網的 XGen 亦強化趨勢科技的安全解決方案產品:混合雲端防護、使用者防護及網路防禦。

◎原文來源: GandCrab Ransomware Found Targeting MySQL Databases