Certaines bases de données MySQL peu ou mal protégées sont la cible d’une nouvelle attaque visant à leur injecter un ransomware baptisé GrandCrab.

Elle a été découverte par Andrew Brandt, un chercheur en sécurité de l’éditeur Sophos. Dans un billet de blog, il explique avoir repéré au moins une équipe de hackers chinois qui scanne l’Internet à la recherche de serveurs Windows hébergeant des bases de données MySQL mal configurées voir non protégées par un mot de passe.

L’attaque cible plus particulièrement les bases de données qui acceptent les commandes MySQL afin de pouvoir injecter le ransomware GrandCrab.

Andrew Brandt est remonté jusqu’à un serveur sur lequel se trouvait un répertoire ouvert contenant les statistiques de téléchargements des charges malveillantes. Il en a dénombré un peu plus de 3.000.

GrandCrab : un risque sérieux pour les administrateurs de serveurs MySQL

Ce type d’attaque est très rare. D’ordinaire, les attaquants s’en prennent aux serveurs de bases de données pour infiltrer des entreprises afin de leur dérober des données ou installer des mineurs de cryptomonnaie.

« Bien qu’il ne s’agisse pas d’une attaque particulièrement massive ou généralisée, elle présente un risque sérieux pour les administrateurs de serveurs MySQL qui ont ouvert un trou à travers le parefeu pour le port 3306 sur leur serveur de base de données afin d’être accessibles par le monde extérieur, » analyse Andrew Brandt pour Sophos.

Selon les résultats du sondage annuel 2018 du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), la demande de rançon ( ransomware) est devenue la cyber-attaque la plus fréquente, loin devant les attaques virales générales et la fraude externe ou les vols d’information.

« Le social engineering et les vulnérabilités résiduelles permanentes touchent une entreprise sur deux et viennent compléter le tableau des cyber-risques auxquels les entreprises sont les plus exposées. » indique le CESIN.