0
0
Cibercriminosos estão invadindo servidores Microsoft SQL (MS-SQL) mal protegidos e expostos internamente para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos.
Violação dos servidores Microsoft SQL
Os servidores MS-SQL estão sendo violados por meio de ataques de força bruta ou de dicionário que se aproveitam de credenciais de conta fáceis de adivinhar. Depois de se conectar a um servidor, os agentes de ameaças implantam malware apelidado de CLR Shell por pesquisadores de segurança da empresa sul-coreana de segurança cibernética AhnLab, que detectaram os ataques.
Esse malware é usado para coletar informações do sistema, alterar a configuração da conta comprometida e aumentar os privilégios do LocalSystem, explorando uma vulnerabilidade no Windows Secondary Logon Service.
CLR Shell é um tipo de malware assembly CLR que recebe comandos de agentes de ameaças e executa comportamentos maliciosos, de forma semelhante aos WebShells de servidores da web.AhnLab
Na próxima etapa, os invasores instalam e lançam um malware dropper como o serviço svcservice.exe, que usam para iniciar o ransomware Trigona como svchost.exe. Eles também configuram o binário do ransomware para iniciar automaticamente em cada reinicialização do sistema por meio de uma chave de execução automática do Windows para garantir que os sistemas sejam criptografados mesmo após uma reinicialização.
Antes de criptografar o sistema e implantar as notas de resgate, o malware desativa a recuperação do sistema e exclui todas as cópias do Windows Volume Shadow, impossibilitando a recuperação sem a chave de descriptografia.
Ransomware Trigona
Detectado pela primeira vez em outubro de 2022 pelo MalwareHunterTeam e analisada pela BleepingComputer, a operação de ransomware Trigona é conhecida por aceitar apenas pagamentos de resgate em criptomoeda Monero de vítimas em todo o mundo. Esse ransomware criptografa todos os arquivos nos dispositivos das vítimas, exceto aqueles em pastas específicas, incluindo os diretórios Windows e Arquivos de Programas. Antes da criptografia, a gangue também alega roubar documentos confidenciais que serão adicionados ao seu site de vazamento na dark web.
Além disso, o ransomware renomeia os arquivos criptografados adicionando a extensão ._locked e incorpora a chave de descriptografia criptografada, o ID da campanha e o ID da vítima (nome da empresa) em cada arquivo bloqueado.
Ele também cria notas de resgate denominadas “how_to_decrypt.hta” em cada pasta com informações sobre o ataque, um link para o site de negociação Trigona Tor e um link que contém a chave de autorização necessária para fazer login no site de negociação. A gangue do ransomware Trigona está por trás de um fluxo constante de ataques, com pelo menos 190 envios à plataforma ID Ransomware desde o início do ano.
FONTE: SEMPRE UPDATE