0
0
Uma campanha de ataque cibernético tem como alvo bancos de dados Microsoft SQL (MS SQL) expostos, com o objetivo de entregar cargas úteis de ransomware e Cobalt Strike.
A campanha de ataque
Os invasores têm como alvo servidores MS SQL expostos por meio de credenciais de acesso de força bruta. Após a autenticação com sucesso, eles começam a enumerar o banco de dados. Uma função xp_cmdshell habilitada (com muita frequência) também permite que invasores executem comandos shell no host e iniciem várias cargas úteis.
Os atacantes então:
- Crie novos usuários no host da vítima
- Faça alterações no registro para garantir uma conexão bem-sucedida
- Desative o firewall do sistema
Eles se conectam a um compartilhamento SMB remoto que lhes permitiu instalar ferramentas adicionais, incluindo um comando Cobalt Strike e carga útil de controle e a ferramenta de acesso remoto (RAT) AnyDesk.
Eles também baixam um scanner de porta avançado para ajudá-los a descobrir caminhos para movimento lateral e Mimikatz para permitir o despejo de credenciais.
“Os comandos foram executados em rápida sucessão, indicando que provavelmente os estavam copiando de uma lista de ferramentas ou documento”, disseram os pesquisadores da Securonix.
Finalmente, eles implantam o ransomware FreeWorld, que é uma variante do ransomware Mimic. “Ele segue muitos TTPs semelhantes para cumprir seus objetivos. Ambas as variantes parecem abusar do aplicativo legítimo Tudo para consultar e localizar arquivos de destino a serem criptografados”, acrescentaram.
Os arquivos criptografados obtêm a extensão “.FreeWorldEncryption” e, assim que o ransomware termina de criptografar, a nota de resgate com instruções sobre como pagar para que os arquivos sejam descriptografados é mostrada.
Servidores MS SQL sob ataque
A Trustwave implantou recentemente servidores honeypot que imitam nove sistemas de banco de dados populares – MS SQL Server, MySQL, Redis, MongoDB, PostgreSQL, Oracle DB, IBM DB2, Cassandra e Couchbase – nas principais regiões do mundo, e descobriu rapidamente que a atividade de ataque em MS Os honeypots SQL representaram 93% do total.
Os servidores MS SQL são um alvo atraente para os cibercriminosos porque são amplamente utilizados e muitas vezes armazenam dados valiosos.
Os invasores também os consideram úteis porque podem torná-los parte de uma botnet de criptografia ou usá-los como servidor proxy.
Para manter os servidores MS SQL seguros, os administradores devem:
- Limitar o uso do procedimento armazenado xp_cmdshell
- Permitir acesso ao servidor apenas via VPN
- Monitore diretórios de teste de malware comuns
- Estenda o registro para melhorar a cobertura de detecção
“O ataque inicialmente teve sucesso como resultado de um ataque de força bruta contra um servidor MS SQL. Não ficou claro se os invasores estavam usando tentativas de pulverização de senhas aleatórias ou baseadas em dicionário. No entanto, é importante enfatizar a importância de senhas fortes, especialmente em serviços expostos publicamente”, concluíram os pesquisadores .
FONTE: HELPNET SECURITY