安全研究人员看到了一系列针对运行MySQL数据库的Windows服务器的攻击,以使用GandCrab勒索软件感染它们(趋势科技检测为Ransom.Win32.GANDCRAB.SMILC)。 这些攻击是在去年5月19日通过蜜罐首次发现的,它需要扫描面向Internet的MySQL数据库并检查它们是否在Windows操作系统上运行。 然后执行恶意的SQL命令以上传文件,该文件将检索并帮助执行勒索软件。
据Sophos的安德鲁·布兰特(Andrew Brandt)观察到入侵,扫描活动搜索不安全或配置错误的MySQL数据库或防火墙。 这包括对暴露了端口3306(MySQL使用的默认端口)的MySQL服务器的攻击。
Brandt指出,参与攻击的GandCrab的版本/样本已被下载超过2300次。 尽管数量相对较少,但攻击仍然构成重大的安全风险。 MySQL是一种无处不在的数据库技术,据报道其市场份额超过50%。
[执行摘要:勒索软件即在深度Web中提供的服务:这对企业意味着什么]
自从使用Rig和GrandSoft等攻击工具首次发现以来,GandCrab本身就使用了不同的攻击媒介。 GandCrab的运营商已在文件共享网站上使用了恶意广告,Fallout,JavaScript恶意软件和垃圾邮件附件等新开发的漏洞利用工具包来提供勒索软件。 攻击媒介的范围使它成为普遍的勒索软件威胁-GandCrab是2018年北美最被发现的勒索软件系列。
这不足为奇,因为据报道,GandCrab的作者在网络分子的地下兜售了勒索软件,将其作为一种服务。 这意味着GandCrab的会员可以在漏洞利用工具包和垃圾邮件之外分发他们的勒索软件版本。 最近,看到网络分子将目标锁定为装有易受攻击的Confluence协作软件的主机。
GandCrab不是第一个针对MySQL数据库的对象。 例如,臭名昭著的Cerber的迭代还针对数据库程序并加密相关文件。 还有一些针对安全性较差的MongoDB数据库的网络勒索活动。 攻击包括识别可在公共和远程访问的MongoDB数据库,删除其内容,然后勒索其所有者。
[相关新闻:MegaCortex勒索软件发现攻击企业网络]
尽管勒索软件可能不像以前那样普遍,但GandCrab的最新活动显示了风险越来越大。 如LockerGoga所示,勒索软件攻击以及各州的单独事件,都越来越具有针对性,其影响也越来越大。 考虑到勒索软件有时只需要一个薄弱的链接即可感染企业的在线基础架构,组织应采取深度防御措施,例如定期备份数据。 保持系统更新和修补; 确保使用系统管理工具; 并确保正确配置了数据库。 例如,MySQL有一些有关如何保护它的准则和建议。 趋势科技勒索软件解决方案
企业可以从多层方法中受益,以最大程度地减轻勒索软件带来的风险。 在端点级别,Trend MicroTM Smart Protection Suite提供了多种功能,例如高保真机器学习,行为监控和应用程序控制以及漏洞屏蔽功能,可将这种威胁的影响降到最低。 趋势科技威胁发现设备可检测和阻止网络上的勒索软件,而趋势科技趋势科技服务器深度安全防护系统解决方案可阻止勒索软件到达企业服务器-物理,虚拟或云中。 趋势科技趋势科技服务器深度安全防护系统,漏洞防护和TippingPoint提供了虚拟补丁程序,可保护端点免受利用未修补漏洞提供勒索软件的威胁。 电子邮件和Web网关解决方案(例如趋势科技深度威胁发现电子邮件检查器和InterScan™Web安全性)可防止勒索软件进入最终用户。
这些解决方案由趋势科技XGen™安全性提供支持,该安全性提供了针对数据中心,云环境,网络和端点的全方位威胁防御技术的跨代混合。 智能,优化和连接的XGen为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢