Bei der sogenannten Vollgar-Kampagne geht es um die Infizierung von 3.000 Microsoft SQL Servern pro Tag durch Malware. Davon berichten Sicherheitsforscher. Laut diesen findet die Infizierung bereits seit zwei Jahren statt – die Angreifer nehmen gezielt Microsoft SQL Server ins Visier und haben dabei oft Erfolg.
Bei erfolgreichen Attacken hinterlassen die Angreifer unterschiedliche Malware: zur Fernsteuerung oder zum Cryptomining der kompromittierten Server. Die Angriffsmethode sind sogenannte Brute-Force-Attacken – automatisiertes, wahlloses Ausprobieren von Passwörtern. Schutz bieten lange, komplexe Passwörter mit Gross- und Kleinschreibung sowie Sonderzeichen und Zahlen.
Möglich werden die Angriffe, weil tausende Microsoft SQL Server weltweit über das Internet erreichbar sind – und obendrein mit schwachen Passwörtern gesichert. Das erleichtert Brute-Force-Attacken erheblich: Einfache Passwörter fallen schnell.
Am stärksten betroffen sind Südkorea, Indien, China und die Türkei. Täglich entstehen 3.000 neue Infektionen – nicht mitgezählt die Angriffe, die keinen Erfolg haben. Laut Bericht der Sicherheitsforscher startete die Kampagne im Mai 2018 und läuft bis heute.
Eigenes Testen der Microsoft SQL Server ist jetzt von Nöten
Sicherheitsforscher haben ein Skript entwickelt, mit dem jeder Admin seinen Microsoft SQL Server selbst testen kann. Es steht auf GitHub zur freien Verfügung. Auswertungen der Nutzungsdaten zeigen: Bei 60 % der Infektionen handelt es sich nur um einen kurzen Zeitraum. Bei 20 % dauert die Infektion ein bis zwei Wochen. Wird ein System gesäubert, besteht eine zehnprozentige Chance, dass es sofort wieder befallen wird.
Die Angreifer gehen nach einer erfolgreichen Brute-Force-Attacke methodisch vor: Der Fernzugriff wird sofort über mehrere Backdoors gesichert, Spuren werden verwischt, konkurrierende Schadsoftware wird entfernt. Ein Aufspüren der Angreifer im kompromittierten System ist damit kaum möglich.
Ist der Angriff abgeschlossen, laden die Täter Trojaner über Download-Skripte nach. Mit diesen wird unter anderem die Kryptowährung Vollar geschürft. In Fachkreisen gilt dieses Vorgehen als offensiv und vulgär – aus den Anfangsteilen von «Vollar» und «vulgär» entstand der Kampagnenname Vollgar.
Wie können Datenbank-Server gegen das fremde Eindringen geschützt werden?
Auf Datenbanksystemen liegen oft vertrauliche Firmen- und Kundendaten. Idealerweise sind diese Server über das Internet gar nicht erreichbar. Ist das nach sorgfältiger Prüfung trotzdem nötig, solltest du als Admin die Logdateien regelmässig auf verdächtige Einträge prüfen. Auch bei intern betriebenen Servern gilt: Zugriff nur für einen klar definierten Personenkreis.
Das Wichtigste bleibt das Passwort. Nur ein starkes, einzigartiges Passwort schützt gegen Brute-Force-Attacken. Nirgendwo hinterlegen, sorgfältig wählen – und nicht wiederverwenden.
Kommt es trotz aller Massnahmen zu einem Angriff, zählt Tempo: Alle betroffenen Server sofort in Quarantäne stellen, um den Zugriff auf das Firmennetz zu unterbrechen. Danach alle Passwörter vollständig erneuern – keine ähnlichen Varianten wie vorher. Die Gefahr einer erneuten Infektion liegt bei rund zehn Prozent, wenn ein System einmal kompromittiert war.
Starke Passwörter sind der wichtigste Schutz
3.000 neue Infektionen täglich – die Schäden für Serverbetreiber können erheblich sein. Komplexe, einzigartige Passwörter sind eine der wenigen wirksamen Gegenmassnahmen gegen Brute-Force-Attacken. Einfache oder Standard-Passwörter bieten keinen Schutz. Wer sensible Kunden- oder Firmendaten verwaltet, muss das ernst nehmen.