Database MySQL Dipindai Untuk Menginfeksi GandCrab Ransomware
Sekelompok peretas khusus menjalankan pencarian database MySQL yang agak sederhana namun gigih. Basis data yang rentan kemudian ditargetkan untuk menginstal ransomware. Admin server MySQL yang membutuhkan akses ke database mereka dari jarak jauh harus ekstra hati-hati.
Peretas menjalankan pencarian yang konsisten di internet. Peretas ini, diyakini berlokasi di China, mencari server Windows yang menjalankan database MySQL. Kelompok ini jelas berencana untuk menginfeksi sistem ini dengan ransomware GandCrab.
Ransomware adalah perangkat lunak canggih yang mengunci pemilik sebenarnya dari file dan meminta pembayaran untuk dikirim melalui kunci digital. Sangat menarik untuk dicatat bahwa perusahaan keamanan siber belum melihat aktor ancaman sampai sekarang yang telah menyerang server MySQL yang berjalan pada sistem Windows terutama untuk menginfeksi mereka dengan ransomware. Dengan kata lain, tidak biasa bagi peretas untuk mencari database atau server yang rentan dan memasang kode berbahaya. Praktik normal yang biasa diamati adalah upaya sistematis untuk mencuri data sambil mencoba menghindari deteksi.
Upaya terbaru untuk menjelajah internet mencari database MySQL yang rentan yang berjalan pada sistem Windows ditemukan oleh Andrew Brandt, Peneliti Utama di Sophos. Menurut Brandt, peretas tampaknya memindai database MySQL yang dapat diakses internet yang akan menerima perintah SQL. Parameter pencarian memeriksa apakah sistem menjalankan OS Windows. Setelah menemukan sistem seperti itu, peretas kemudian menggunakan perintah SQL berbahaya untuk menanam file di server yang terbuka. Infeksi, setelah berhasil, digunakan di kemudian hari untuk meng-host ransomware GandCrab.
Upaya terbaru ini mengkhawatirkan karena peneliti Sophos berhasil melacaknya kembali ke server jarak jauh yang mungkin merupakan salah satu dari beberapa. Terbukti, server memiliki direktori terbuka yang menjalankan perangkat lunak server yang disebut HFS, yang merupakan jenis HTTP File Server. Perangkat lunak ini menawarkan statistik untuk muatan berbahaya penyerang.
Menguraikan temuannya, Brandt berkata, “Server tampaknya menunjukkan lebih dari 500 unduhan sampel yang saya lihat unduhan MySQL honeypot (3306-1.exe). Namun, sampel bernama 3306-2.exe, 3306-3.exe, dan 3306-4.exe identik dengan file tersebut. Dihitung bersama-sama, ada hampir 800 unduhan dalam lima hari sejak ditempatkan di server ini, serta lebih dari 2300 unduhan sampel GandCrab lainnya (sekitar seminggu lebih lama) di direktori terbuka. Jadi sementara ini bukan serangan yang sangat besar atau meluas, hal itu menimbulkan risiko serius bagi admin server MySQL yang telah melubangi firewall agar port 3306 di server database mereka dapat dijangkau oleh dunia luar”
Sangat meyakinkan untuk dicatat bahwa admin server MySQL yang berpengalaman jarang salah mengonfigurasi server mereka, atau yang terburuk, meninggalkan database mereka tanpa kata sandi. Namun, kasus seperti itu tidak jarang terjadi. Rupanya, tujuan pemindaian terus-menerus tampaknya adalah eksploitasi oportunistik dari sistem yang salah konfigurasi atau basis data tanpa kata sandi.