50'000 Datenbank-Server mit Krypto-Minern infiziert

31. Mai 2019, 11:40
  • security
  • microsoft
  • cyberangriff
image

Unbekannte Hacker, vermutlich aus China, infizieren momentan weltweit Microsoft-SQL-Server- und PHPMyAdmin-Installationen mit versteckten Krypto-Miner-Skripten, wie 'Heise' berichtet.

Unbekannte Hacker, vermutlich aus China, infizieren momentan weltweit Microsoft-SQL-Server- und PHPMyAdmin-Installationen mit versteckten Krypto-Miner-Skripten, wie 'Heise' berichtet. Die Opfer kostet das Rechenleistung und andere Ressourcen, die Angreifer verdienen sich Einheiten der Krypto-Währung Monero.
Entdeckt wurden die Angriffe von der amerikanisch-israelischen Sicherheitsfirma Guardicore Anfang April. Insgesamt konnte Guardicore bis zu 20 verschiedene Malware-Varianten ausmachen, mit denen die Hacker bis zu 700 Server am Tag infizieren. Knapp 50'000 Systeme etwa im Gesundheitssektor und von IT- und Medienunternehmen sollen bis jetzt betroffen sein.
In einem ersten Schritt verschaffen sich die Hacker per Bruteforce-Angriff auf schwache Passwörter Zugang zum Microsoft SQL Server auf dem System. Dann nutzen sie diesen Zugang, um ein VB-Skript auszuführen, das den Krypto-Miner auf dem System installiert, versteckt und ausführt.
Die Hacker nutzen eine alte Schwachstelle im Windows-Kernel (CVE-2014-4113, von Microsoft im Oktober 2014 gepatcht), um System-Rechte zu erlangen. In einigen Fällen fand ein ähnlicher Angriff über schwache PHPMyAdmin-Passwörter, ebenfalls auf Windows, statt.
Die Kernel-Schwachstelle wird mit einem Treiber ausgenutzt, der zum Zeitpunkt des Angriffes ein gültiges Verisign-Zertifikat besass, ausgestellt auf eine Firma namens Hangzhou Hootian Network Technology – bei dem Firmennamen handelt es sich um eine Fälschung. Das Zertifikat wurde nach einem Hinweis von Guardicore mittlerweile von Verisign zurückgezogen. (paz)

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022