Servidores MySQL estão sendo alvo de uma nova campanha de botnet Ddostf, que tem como propósito “escravizá-los” para uma plataforma de ataques distribuídos de negação de serviço (DDoS) como serviço.
A campanha foi descoberta por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante monitoramento regular de ameaças direcionadas a servidores de banco de dados.
AhnLab fornece insights rápidos e precisos sobre ameaças e as mais recentes soluções de resposta a ameaças por meio do ASEC (AhnLab Security Emergency Response Center), um grupo de resposta global composto por analistas profissionais de malware e especialistas em segurança cibernética.
Os operadores do Ddostf aproveitam vulnerabilidades em ambientes MySQL não corrigidos ou credenciais de conta de administrador fracas para realizar ataques de força bruta a servidores.
Os invasores estão vasculhando a internet em busca de servidores MySQL expostos e, quando os encontram, tentam violá-los forçando credenciais de administrador fracas.
Para servidores Windows MySQL, os operadores de ameaças usam um recurso chamado UDFs (funções definidas pelo usuário) para executar comandos no sistema violado. UDF é um recurso do MySQL que permite aos usuários definir funções em linguagem C ou C++ e compilá-las em um arquivo DLL (biblioteca de vínculo dinâmico) que estende os recursos do servidor de banco de dados.
Os invasores, neste caso, criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll).
A exploração da UDF facilita o carregamento da carga principal desse ataque, o cliente de bot Ddostf. Ele também pode potencialmente permitir a instalação de outros malwares, exfiltração de dados, criação de backdoors para acesso persistente e muito mais.
Ddostf é uma botnet de origem chinesa, detectada pela primeira vez há cerca de sete anos, e tem como alvo sistemas Linux e Windows.
No Windows, ele estabelece persistência registrando-se como um serviço do sistema na primeira execução e, em seguida, descriptografa sua configuração de comando e controle (C&C) para estabelecer uma conexão.
O malware traça o perfil do sistema host e envia dados como frequência da CPU e número de núcleos, informações de idioma, versão do Windows, velocidade da rede, etc., para seu servidor C&C. Este pode enviar comandos de ataque DDoS para a botnet cliente — incluindo ataque SYN Flood, UDP Flood e HTTP GET/POST Flood —, solicitar a interrupção da transmissão de informações de status do sistema, alternar para um novo endereço C2 ou baixar e executar uma nova carga útil.
A ASEC comenta que a capacidade do Ddostf de se conectar a um novo endereço C&C faz com que ele se destaque da maioria dos malwares de botnet DDoS e é um elemento que lhe dá resiliência contra remoções.
Recomendações de segurança
Para proteger seus servidores MySQL contra ataques Ddostf, os administradores devem tomar as seguintes medidas:
Manter o MySQL atualizado com as últimas correções de segurança.
Usar senhas fortes para contas de administrador.
Habilitar a autenticação de dois fatores (2FA) para contas de administrador.
Monitorar os servidores MySQL regularmente para atividades suspeitas.
Os administradores também podem considerar usar um firewall para bloquear o tráfego não autorizado para os servidores MySQL.
Impacto potencial
Os ataques DDoS podem causar uma interrupção significativa dos serviços, resultando em perda de receita, danos à reputação e até mesmo a falência. As organizações que são vítimas de ataques DDoS podem enfrentar custos significativos para restaurar seus sistemas e recuperar seus dados.
A campanha Ddostf representa uma ameaça significativa para organizações de todos os tamanhos. Os administradores de sistemas devem estar cientes dessa ameaça e tomar medidas para proteger seus servidores MySQL.
4 dicas para evitar a perda de dados no trabalho remoto
Principais previsões de ameaças cibernéticas para 2024 previstas pela Trellix
Os três ciberataques mais comuns à indústria de jogos
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.