Investigadores da Sophos descobriram uma nova corrente de ataques dirigida a servidores de Windows com o objetivo de atacar bases de dados MySQL e distribuir o ransomware GandCrab.

Depois de consumada a ligação a uma base de dados MySQL, o atacante usa o comando "set" para fazer upload dos bytes que compõem o DLL helper para a memória numa variável e escrever os conteúdos dessa variável para uma tabela de base de dados chamada yongger2. Daí, o atacante concatena os bytes num ficheiro e coloca-os no diretório de plugins do servidor. O que este DLL helper faz é essencialmente adicionar as funções xpdl3, xpdl3_deinit, and xpdl3_init à base de dados. Depois de o atacante fazer drop da yongger2, faz com que o servidor de base de dados faça download do payload respeitante ao ransomware e coloca-o na raíz da drive C:\, com o nome isetup.exe.

Estima-se que o download tenha sido efetuado mais de 800 vezes. Apesar de este ataque não ser algo massivo, representa um risco sério aos administradores deste tipo de base de dados.

Fonte: https://www.zdnet.com/article/hackers-are-scanning-for-mysql-servers-to-deploy-gandcrab-ransomware/