50'000 Datenbank-Server mit Krypto-Minern infiziert

31. Mai 2019, 11:40
  • security
  • microsoft
  • cyberangriff
image

Unbekannte Hacker, vermutlich aus China, infizieren momentan weltweit Microsoft-SQL-Server- und PHPMyAdmin-Installationen mit versteckten Krypto-Miner-Skripten, wie 'Heise' berichtet.

Unbekannte Hacker, vermutlich aus China, infizieren momentan weltweit Microsoft-SQL-Server- und PHPMyAdmin-Installationen mit versteckten Krypto-Miner-Skripten, wie 'Heise' berichtet. Die Opfer kostet das Rechenleistung und andere Ressourcen, die Angreifer verdienen sich Einheiten der Krypto-Währung Monero.
Entdeckt wurden die Angriffe von der amerikanisch-israelischen Sicherheitsfirma Guardicore Anfang April. Insgesamt konnte Guardicore bis zu 20 verschiedene Malware-Varianten ausmachen, mit denen die Hacker bis zu 700 Server am Tag infizieren. Knapp 50'000 Systeme etwa im Gesundheitssektor und von IT- und Medienunternehmen sollen bis jetzt betroffen sein.
In einem ersten Schritt verschaffen sich die Hacker per Bruteforce-Angriff auf schwache Passwörter Zugang zum Microsoft SQL Server auf dem System. Dann nutzen sie diesen Zugang, um ein VB-Skript auszuführen, das den Krypto-Miner auf dem System installiert, versteckt und ausführt.
Die Hacker nutzen eine alte Schwachstelle im Windows-Kernel (CVE-2014-4113, von Microsoft im Oktober 2014 gepatcht), um System-Rechte zu erlangen. In einigen Fällen fand ein ähnlicher Angriff über schwache PHPMyAdmin-Passwörter, ebenfalls auf Windows, statt.
Die Kernel-Schwachstelle wird mit einem Treiber ausgenutzt, der zum Zeitpunkt des Angriffes ein gültiges Verisign-Zertifikat besass, ausgestellt auf eine Firma namens Hangzhou Hootian Network Technology – bei dem Firmennamen handelt es sich um eine Fälschung. Das Zertifikat wurde nach einem Hinweis von Guardicore mittlerweile von Verisign zurückgezogen. (paz)

Loading

Mehr zum Thema

image

IT-Problem: Kriminelle bestehlen St. Galler Kantonalbank

Beim Ostschweizer Institut konnte ein Konto stark überzogen werden. Der Grund war laut SGKB eine "sehr spezifische Latenz".

publiziert am 18.11.2022
image

Schweizer Polizei verhaftet berüchtigten Cyberbanden-Chef

"Jabberzeus"-Anführer Vyacheslav "Tank" Penchukov wurde in Genf verhaftet. Schweizer Behörden wollen ihn nun an die USA ausliefern.

publiziert am 17.11.2022 3
image

"123456" ist nicht mehr das beliebteste Passwort

Je stärker ein Login, desto schwieriger ist es für Hacker, dieses zu knacken. Doch noch immer sind einfache Kombinationen, Sportteams, Filme oder Esswaren weit verbreitet.

publiziert am 16.11.2022
image

Parldigi direkt: Einbezug von KI in die Cyberverteidigung?

Angriffe auf die Bevölkerung, die Behörden und die Wirtschaft zeigen, dass Cyberbedrohungen eine rasant wachsende Rolle in der Politik und der Gesellschaft einnehmen. Wie kann KI im VBS helfen?

publiziert am 16.11.2022