Servidores MySQL são alvo de nova campanha de botnet Ddostf
22 de novembro de 2023Servidores MySQL estão sendo alvo de uma nova campanha de botnet Ddostf, que tem como propósito “escravizá-los” para uma plataforma de ataques distribuídos de negação de serviço (DDoS) como serviço.
A campanha foi descoberta por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante monitoramento regular de ameaças direcionadas a servidores de banco de dados.
AhnLab fornece insights rápidos e precisos sobre ameaças e as mais recentes soluções de resposta a ameaças por meio do ASEC (AhnLab Security Emergency Response Center), um grupo de resposta global composto por analistas profissionais de malware e especialistas em segurança cibernética.
Os operadores do Ddostf aproveitam vulnerabilidades em ambientes MySQL não corrigidos ou credenciais de conta de administrador fracas para realizar ataques de força bruta a servidores.
Os invasores estão vasculhando a internet em busca de servidores MySQL expostos e, quando os encontram, tentam violá-los forçando credenciais de administrador fracas.
Para servidores Windows MySQL, os operadores de ameaças usam um recurso chamado UDFs (funções definidas pelo usuário) para executar comandos no sistema violado. UDF é um recurso do MySQL que permite aos usuários definir funções em linguagem C ou C++ e compilá-las em um arquivo DLL (biblioteca de vínculo dinâmico) que estende os recursos do servidor de banco de dados.
Os invasores, neste caso, criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll).
A exploração da UDF facilita o carregamento da carga principal desse ataque, o cliente de bot Ddostf. Ele também pode potencialmente permitir a instalação de outros malwares, exfiltração de dados, criação de backdoors para acesso persistente e muito mais.
Ddostf é uma botnet de origem chinesa, detectada pela primeira vez há cerca de sete anos, e tem como alvo sistemas Linux e Windows.
No Windows, ele estabelece persistência registrando-se como um serviço do sistema na primeira execução e, em seguida, descriptografa sua configuração de comando e controle (C&C) para estabelecer uma conexão.
O malware traça o perfil do sistema host e envia dados como frequência da CPU e número de núcleos, informações de idioma, versão do Windows, velocidade da rede, etc., para seu servidor C&C. Este pode enviar comandos de ataque DDoS para a botnet cliente — incluindo ataque SYN Flood, UDP Flood e HTTP GET/POST Flood —, solicitar a interrupção da transmissão de informações de status do sistema, alternar para um novo endereço C2 ou baixar e executar uma nova carga útil.
A ASEC comenta que a capacidade do Ddostf de se conectar a um novo endereço C&C faz com que ele se destaque da maioria dos malwares de botnet DDoS e é um elemento que lhe dá resiliência contra remoções.
Recomendações de segurança
Para proteger seus servidores MySQL contra ataques Ddostf, os administradores devem tomar as seguintes medidas:
Manter o MySQL atualizado com as últimas correções de segurança.
Usar senhas fortes para contas de administrador.
Habilitar a autenticação de dois fatores (2FA) para contas de administrador.
Monitorar os servidores MySQL regularmente para atividades suspeitas.
Os administradores também podem considerar usar um firewall para bloquear o tráfego não autorizado para os servidores MySQL.
Impacto potencial
Os ataques DDoS podem causar uma interrupção significativa dos serviços, resultando em perda de receita, danos à reputação e até mesmo a falência. As organizações que são vítimas de ataques DDoS podem enfrentar custos significativos para restaurar seus sistemas e recuperar seus dados.
A campanha Ddostf representa uma ameaça significativa para organizações de todos os tamanhos. Os administradores de sistemas devem estar cientes dessa ameaça e tomar medidas para proteger seus servidores MySQL.
4 dicas para evitar a perda de dados no trabalho remoto
Principais previsões de ameaças cibernéticas para 2024 previstas pela Trellix
Os três ciberataques mais comuns à indústria de jogos
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
