Uwaga – nowy malware atakuje słabo zabezpieczone serwery MSSQL

Specjaliści do spraw bezpieczeństwa ostrzegają, że w ostatnim czasie w internecie pojawiła się bardzo niebezpieczna grupa hakerska, która atakuje serwery SQL i instaluje w ich pamięci malware pełniący rolę oprogramowania wydobywającego jedną ze znanych kryptowalut.

MSSQL

Sprawa jest poważna, gdyż jak dotąd hakerzy zaatakowali w ten sposób na całym świecie w powodzeniem tysiące baz danych MSSQL (Microsoft SQL Server). Atakom tego typu przypisano nazwę MrbMiner, hakerzy nazwali bowiem w ten sposób jedną z wykreowanych przez nich domen, która hostuje malware.

Hakerzy skanują najpierw internet w poszukiwaniu serwerów MSSQL, a następnie inicjują standardowe ataki typu „brute force”, które polegają na wielokrotnych próbach logowania się na konto administratora, używając za każdym razem różnych haseł w nadziei, że trafią na to właściwe. Niestety bardzo często atak taki kończy się powodzeniem, gdyż skonfigurowane przez administratora hasło okazuje się zbyt słabe.

Zobacz również:

W kolejnym kroku haker – mając w tym momencie uprawnienia przysługujące administratorowi – instaluje w pamięci serwera plik assm.exe. Jest to swego rodzaju „backdoor”, za pomoc które haker zakłada na serwerze konto noszące nazwę "Default", przypisując mu hasło "@fg125kjnhn987."

Wtedy złośliwe oprogramowanie zainstalowane na systemie MSSQL łączy się z serwerem hakera, który uruchamia na zaatakowanym systemie aplikację wydobywającą kryptowalutę Monero.

Na razie administratorzy systemów mogą bronić się przed tego rodzaju atakami sprawdzając czy na serwerze MSSQL założono konto „Default”, któremu towarzyszy hasło „fg125kjnhn987”. W przypadku znalezienia takiego konta, administrator powinien od razu wykonać pełny audyt serwera pod kątem zabezpieczeń.


TOP 200