Een nieuwe vorm van malware, genaamd PG_MEM, is recentelijk ontdekt en richt zich specifiek op databases beheerd door PostgreSQL, met als doel cryptocurrency-miningsoftware te installeren. Deze malware vormt een bedreiging voor meer dan 800.000 PostgreSQL-databases wereldwijd, vooral als deze beveiligd zijn met zwakke wachtwoorden.
Dergelijke aanvallen komen regelmatig voor
De cyberbeveiligingsspecialisten van Aqua, een cloud-native bedrijf, melden dat PG_MEM wordt geïnstalleerd na een succesvolle brute-force aanval op een database met een zwak wachtwoord. PostgreSQL, een veelgebruikt object-relationeel databasebeheersysteem, wordt vooral toegepast in databases die met het internet verbonden zijn. Ongeveer 300.000 van deze kwetsbare databases bevinden zich in de Verenigde Staten en meer dan 100.000 in Polen.
Wanneer de malware toegang krijgt tot een database, creëert het een nieuwe gebruiker met uitgebreide rechten en login-mogelijkheden. Vervolgens downloadt de malware bestanden van de server van de aanvaller, wist zijn eigen sporen, en blokkeert toegang voor andere kwaadwillenden die dezelfde database zouden kunnen misbruiken voor hun eigen miningactiviteiten. Dit soort aanvallen komt regelmatig voor, aldus experts:
“Veel organisaties stellen hun databases open voor internettoegang, vaak met zwakke wachtwoorden als gevolg van slechte configuratie en onvoldoende identiteitscontroles. Dit probleem komt veel voor, zelfs bij grote organisaties.”
Eenmaal actief, worden er crypto’s gemined
Zodra PG_MEM actief is, verbindt het zich met een miningpool en gebruikt het de computerbronnen van de getroffen database, samen met die van andere geïnfecteerde systemen, om de kans op het succesvol minen van een nieuw blok te vergroten.
Deze praktijk, waarbij malware wordt ingezet om cryptocurrencies te minen, staat bekend als cryptojacking. Het komt steeds vaker voor en kan ook pc’s infecteren. Naar verluidt steeg het aantal crypto-malware-aanvallen in de eerste helft van 2023 met 400% ten opzichte van het voorgaande jaar.
Naast deze illegale activiteiten bestaat er ook legitiem gebruik van ongebruikte computercapaciteit voor mining. Zo gebruikt het gedecentraliseerde cloudinfrastructuurbedrijf Aethir bijvoorbeeld overbodige rekenkracht uit datacenters om goedkope, schaalbare computerdiensten aan te bieden aan klanten via hun GPU-as-a-service-netwerk.
Het bericht Nieuwe malware richt zich op PostgreSQL databases voor cryptojacking verscheen eerst op Newsbit.