0
0
Foi descoberta uma campanha de ataque cibernético comprometendo bancos de dados expostos do Microsoft SQL Server (MSSQL), usando ataques de força bruta para entregar cargas úteis de ransomware e Cobalt Strike.
De acordo com uma investigação da Securonix, a sequência de ataque típica observada para esta campanha começa com acesso forçado aos bancos de dados MSSQL expostos. Após a infiltração inicial, os invasores expandem sua posição no sistema alvo e usam o MSSQL como base para lançar diversas cargas diferentes, incluindo Trojans de acesso remoto (RATs) e uma nova variante do ransomware Mimic chamada “FreeWorld”, nomeada em homenagem à inclusão do palavra “FreeWorld” nos nomes dos arquivos binários, um arquivo de instruções de resgate chamado FreeWorld-Contact.txt e a extensão do ransomware, que é “.FreeWorldEncryption”.
Os invasores também estabelecem um compartilhamento SMB remoto para montar um diretório que abriga suas ferramentas, que incluem um agente de comando e controle Cobalt Strike (srv.exe) e AnyDesk; e implantam um scanner de porta de rede e Mimikatz, para despejo de credenciais e movimentação lateral dentro da rede. E, por fim, os atores da ameaça também realizaram alterações na configuração, desde a criação e modificação de usuários até alterações no registro, para prejudicar as defesas.
A Securonix chama a campanha de “DB#JAMMER”, e a equipe de pesquisa disse que ela exibe um “alto nível de sofisticação” em termos da utilização de infraestrutura de ferramentas e cargas úteis pelo invasor, bem como sua rápida execução.
“Algumas dessas ferramentas incluem software de enumeração, cargas RAT, software de exploração e roubo de credenciais e, finalmente, cargas úteis de ransomware”, observaram os pesquisadores da Securonix no relatório .
“Isso não é algo que temos visto com frequência, e o que realmente diferencia essa sequência de ataques são as extensas ferramentas e infraestrutura usadas pelos atores da ameaça”, disse Oleg Kolesnikov, vice-presidente de pesquisa de ameaças e segurança cibernética da Securonix.
Kolesnikov salienta que a campanha ainda está em curso, mas a sua avaliação é que se trata de uma campanha relativamente direccionada na sua fase actual.
“Nossa avaliação atual neste estágio é que o nível de risco é médio a alto porque há algumas indicações de que os vetores de infiltração usados pelos invasores não estão limitados ao MSSQL”, acrescenta.
A descoberta desta última ameaça ocorre no momento em que o ransomware está a caminho de vitimar mais organizações em 2023 , com os invasores aumentando rapidamente os ataques para causar danos generalizados antes mesmo que os defensores possam detectar uma infecção.
Mantendo o MSSQL seguro
Kolesnikov aconselha que as empresas reduzam a sua superfície de ataque associada aos serviços MSSQL, limitando a sua exposição à Internet e, se possível – os servidores de base de dados MSSQL vitimados tinham ligações externas e credenciais de conta fracas, alertam os investigadores – e são alvos repetidos populares. Em um caso observado pelos pesquisadores da AhnLab , as credenciais de um servidor MSSQL violado foram comprometidas por vários agentes de ameaças, deixando rastros de vários tipos de ransomware, Remcos RAT e coinminers.
“Além disso, as equipes de segurança devem compreender e implementar defesas relacionadas à progressão do ataque e aos comportamentos aproveitados pelos atores mal-intencionados das ameaças”, diz ele, incluindo a restrição do uso do xp_cmdshell como parte de seu procedimento operacional padrão. O relatório também recomendou que as organizações monitorassem diretórios de teste de malware comuns, em particular “C:\Windows\Temp”, e implantassem registros adicionais em nível de processo, como registros Sysmon e PowerShell, para cobertura adicional de detecção de registros.
A atividade maliciosa direcionada a servidores SQL vulneráveis aumentou 174% em comparação com 2022, descobriu um relatório de julho da Unidade 42 de Palo Alto .
FONTE: DARKREADING