0
0
Servidores Microsoft SQL mal protegidos e expostos internamente estão sendo violados por meio de ataques de força bruta ou de dicionário que se aproveitam de credenciais de conta fáceis de adivinhar para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos.
Ataque de dicionário é um método de invasão em que é inserido sistematicamente cada palavra em um dicionário como uma senha. Ele também pode ser usado na tentativa de encontrar a chave necessária para descriptografar uma mensagem ou documento criptografado.
Depois de se conectar a um servidor, o operador da ameaça implanta o malware, apelidado de CLR Shell por pesquisadores de segurança da empresa sul-coreana de segurança cibernética AhnLab, que detectaram os ataques.
Esse malware é usado para coletar informações do sistema, alterar a configuração da conta comprometida e aumentar os privilégios do LocalSystem, explorando uma vulnerabilidade no Windows Secondary Logon Service — que será necessário para iniciar o ransomware como um serviço. “O CLR Shell é um tipo de malware assembly CLR que recebe comandos do operador da ameaça e executa comportamentos maliciosos, de forma semelhante aos WebShells de servidores web”, dizem os pesquisadores da AhnLab.
Segundo eles, na etapa seguinte, o invasor instala e lança um malware dropper como o serviço svcservice.exe, que ele usa para iniciar o ransomware Trigona como svchost.exe. O invasor também configura o binário do ransomware para iniciar automaticamente em cada reinicialização do sistema por meio de uma chave de execução automática do Windows, visando garantir que os sistemas sejam criptografados mesmo após uma reinicialização.
Antes de criptografar o sistema e publicar as notas de resgate, o malware desativa a recuperação do sistema e exclui todas as cópias do Windows Volume Shadow, impossibilitando a recuperação sem a chave de descriptografia.
FONTE: CISO ADVISOR