Tyst men dödlig: 2 930 oskyddade MySQL-databaser och ett ransomware-recept från 2018
Siffrorna du inte vill se i din sömn
Det finns en siffra som borde få dig att stanna upp. Av 2 931 exponerade MySQL-databaser som nyligen skannades var 2 930 redan markerade av ransomware aktörer. Det här är inte en förutsägelse. Det är inte ett "det här kan hända." Det är bekräftad måltagning.
Procenten? Obehagliga 99,96 %.
Har du gått omkring med tanken att en exponerad databas kanske bara ligger där och väntar på att någon ska hitta den? Då är det dags att tänka om. Hotaktörerna väntar inte. De har redan koll.
En sex år gammal metod som fortfarande levererar
Det som är mest oroande är att attackmetoden inte kräver någon avancerad zero-day-exploits. Det handlar om i stort sett samma tillvägagångssätt som cirkulerat sedan 2019-2020.
Grundreceptet ser ut så här:
- Automatiserade scaner efter öppna databasportar (3306 för MySQL)
- Credential stuffing med standardlösenord eller svaga varianter
- Databasinventering för att hitta värdefulla mål
- Tyst dataexfiltrering innan kryptering
- Ransomware med allt snabbare tidslinjer
Verktygen har blivit bättre. Automationen har finslipats. Men den ursprungliga ingångsporten? Felkonfiguration. Exponerade portar. Glömda testmiljöer som fortfarande hänger på internet.
Det här är inget resultat av sofistikerade statliga aktörer. Det här är opportunistisk skanning i industriell skala, utförd av grupper som gjort databasintrång till en effektiv affärsmodell.
Varför exponeringen fortsätter
Om det här är så väldokumenterat – varför ligger databaser fortfarande öppna?
Svaret är lurigt enkelt:
Utvecklarglasögonen – Lokal utveckling kräver ofta öppna portar för enkel åtkomst. Ibland glöms de inställningarna kvar när produktion sätts igång.
Molnmisstag – Publika molninstanser startas ofta med generösa säkerhetsgrupper "bara för att testa."
Bortglömda testmiljöer – Den staging-server du satte upp 2022? Den kör fortfarande. Och den är fortfarande publik.
Dålig överblick – Teamen vet helt enkelt inte vad som är internet-exponerat.
Tron på osynlighet – "Vem skulle attackera oss?" Svaret: automatiserade bottar som inte diskriminerar.
Vad det här betyder för din infrastruktur
Kör du MySQL-databaser – för applikationer, analys eller kunddata – behöver du behandla varje exponerad instans som komprometterad. Även om du inte sett några tecken på intrång.
Attackernas logik bygger på att:
- Databaser övervakas dåligt
- Backups ofta ligger på samma komprometterade system
- Organisationer panikhatar och betalar istället för att återställa från verifierade backups
- Upptäckt och respons tar tid nog att kryptering ska löna sig
Och i många fall har de rätt.
Åtgärder att ta NU
Granska din exponering:
- Använd verktyg som Shodan, Censys eller BinaryEdge för att kolla om dina IP:n dyker upp i internet-skanningsdatabaser
- Gå igenom molnleverantörens säkerhetsgrupper och nätverks-ACL:er
- Se till att ingen databasport är åtkomlig från 0.0.0.0/0
Härdning av autentisering:
- Tvinga starka, unika lösenord för alla databaskonton
- Implementera IP-whitelistning där det är möjligt
- Överväg att tunnla anslutningar via VPN eller bastion-värdar istället för direkt exponering
Verifiera din backupstrategi:
- Lagras backups offline eller i en separat säkerhetszon?
- När genomförde du senast en lyckad återställningstest?
- Har du möjlighet till point-in-time recovery?
Aktivera loggning och övervakning:
- Databasens granskningsloggar bör fånga anslutningsförsök, frågor och administrativa åtgärder
- Sätt upp larm för ovanliga åtkomstmönster eller bulkdataexport
- Överväg DAM-lösningar (Database Activity Monitoring)
Den större bilden: Säkerhet är infrastruktur
Det här är inte bara ett databasproblem. Det är en påminnelse om att säkerhet måste behandlas som grundläggande infrastruktur – inte som en afterthought.
På NameOcean ser vi det här mönstret om och om igen. Startups och utvecklare som rör sig snabbt, levererar features, och av misstag exponerar infrastruktur. Pressen att iterera snabbt är verklig, men kostnaden för ett ransomware-incident eller dataintrång överstiger vida de utvecklingstimmar som krävs för att säkra upp ordentligt från början.
Din domänregistrator, ditt hostingföretag, din DNS-konfiguration – allt det här är ingångsporter som förtjänar samma granskning som du (förhoppningsvis) ger din databasnivå.
Slutsats: Utgå från att du bevakas
De 2 930 markerade databaserna är inga undantag. De speglar en bredare verklighet: om din databas är exponerad mot internet finns den redan på någons radar.
Metoderna är sex år gamla för att de fungerar. Låt inte förtrogenheten med dessa attackmetoder lullra in dig i falsk trygghet. Låt det istället motivera till handling.
Granska din exponering. Lås åtkomsten. Verifiera dina backups. Och kom ihåg: i dagens hotlandskap är osynlighet ingen säkerhetsstrategi.
Håll dig trygg.
Har du frågor om hur du säkrar din databasinfrastruktur eller hostingmiljö? Skriv i kommentarerna – vi hjälper dig bygga säkert från grunden.