Malware infiziert Datenbanken mit anfälligen Passwörtern, um Krypto-Mining-Software zu installieren

von
  • Bösartige Akteure infizieren jetzt PostgreSQL-fähige, mit dem Internet verbundene Geräte mit nicht auffindbarer Mining-Malware.
  • 800.000 Geräte sind von dieser Malware bedroht.

Als erfahrener Cybersicherheitsforscher mit über zwei Jahrzehnten Erfahrung finde ich es alarmierend, die unerbittlichen Taktiken bösartiger Akteure auf ihrem Streben nach Kontrolle und Profit zu sehen. Die jüngste Enthüllung der PG_MEM-Malware, die auf PostgreSQL-fähige Datenbanken abzielt, ist eine weitere Erinnerung an die sich ständig weiterentwickelnde Bedrohungslandschaft, mit der wir heute konfrontiert sind.

Eine neue Art von Malware zielt auf PostgreSQL-Datenbanken mit schwachen Passwörtern ab und nutzt deren Ressourcen aus, um ein Netzwerk für das Kryptowährungs-Mining zu bilden. Weltweit könnten etwa 800.000 Datenbanken betroffen sein, davon etwa 300.000 in den Vereinigten Staaten und weitere 100.000 in Polen.

In einem aktuellen Blogbeitrag hat das Cloud-Sicherheitsunternehmen Aqua Security das Aufkommen einer neuartigen Malware namens PG_MEM bekannt gegeben. Diese Schadsoftware zielt speziell auf PostgreSQL-Datenbanken ab, indem sie sich mit Brute-Force-Methoden gewaltsam Zugriff verschafft. Sobald es drinnen ist, liefert es heimlich seine Nutzlast und betreibt Kryptowährungs-Mining, um seine Aktivitäten zu verbergen.

Der Angriff ereignete sich, als sich skrupellose Personen durch wiederholte Versuche, deren Passwort zu erraten, unbefugten Zugriff auf eine PostgreSQL-Datenbank verschafften. Einmal drinnen, installierten sie zwei schädliche Dateien, die dann die Systemressourcen kaperten, um sie für Krypto-Mining-Operationen zu nutzen, die von diesen böswilligen Akteuren kontrolliert wurden. Darüber hinaus wurden diese Dateien entwickelt, um andere böswillige Parteien daran zu hindern, die Datenbank auszunutzen, eine Erkennung bei Sicherheitsscans zu verhindern und die Kontrolle über jede in der Datenbank ausgeführte Aktion zu behalten.

Quelle: Aqua Security

Die Kontrolle über Geräte zu erlangen, um sie für Mining-Aktivitäten zu nutzen, wird als Kryptojacking bezeichnet. Über solche Datenbanken hinaus können auch persönliche Geräte verschlüsselt werden. Bei PostgreSQL-Datenbanken, oft auch Postgres genannt, lässt ihre Robustheit Angreifern keinen anderen Weg, als sich mit brutaler Gewalt Zugang zu verschaffen. Daher können Postgres-Datenbanken mit schwachen Passwörtern in Gefahr geraten.

Postgres-Hacks sind keine Seltenheit

„Die aktuelle Kampagne nutzt Postgres-Datenbanken im Internet mit schwachen Passwörtern aus. Viele Organisationen verknüpfen ihre Datenbanken mit dem Internet, und ein schwaches Passwort kann auf schlechte Konfiguration oder unzureichendes Identitätsmanagement zurückzuführen sein. Leider ist dies kein ungewöhnliches Problem, und zwar mehrere.“ Laut dem Blog von Aqua Security haben große Organisationen solche Probleme erlebt.“

Als Forscher, der den Mining-Prozess innerhalb der Kryptowährung untersucht, ist mir aufgefallen, dass die Sicherung zusätzlicher Ressourcen die Möglichkeiten der Miner zum Mining von Blöcken erheblich verbessert. Dies gibt einigen Minern einen Anreiz, Strategien umzusetzen, die auf die Maximierung ihrer Blockbelohnungen abzielen. Bedauerlicherweise habe ich im Laufe des Jahres 2024 eine Eskalation dieser Art von Angriffen und Malware-Vorfällen beobachtet. Allein in der ersten Jahreshälfte kam es zu einem erstaunlichen Anstieg solcher Vorfälle um 400 %.

Weiterlesen

2024-08-24 13:17