Atores de ameaça visam servidores Microsoft SQL para implantar o ransomware FreeWorld
4 de Setembro de 2023

Atores de ameaça na internet estão explorando servidores mal protegidos da Microsoft SQL (MS SQL) para difundir o Cobalt Strike e um tipo de ransomware chamado FreeWorld.

A empresa de segurança cibernética Securonix, que denominou a campanha de DB#JAMMER, disse que ela é notável pela maneira como as ferramentas e a infraestrutura são empregadas.

"Algumas dessas ferramentas incluem softwares de enumeração, payloads de RAT, software de exploração e roubo de credenciais e, finalmente, payloads de ransomware", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em uma análise técnica da atividade.

"O payload de ransomware de escolha parece ser uma variante mais recente do ransomware Mimic chamada FreeWorld".

O acesso inicial à hospedagem da vítima é conseguido por força bruta no servidor MS SQL, usand-o para enumerar o banco de dados e aproveitando a opção de configuração xp_cmdshell para executar comandos shell e realizar reconhecimento.

O próximo passo envolve tentar danificar o firewall do sistema e estabelecer persistência conectando-se a um compartilhamento SMB remoto para transferir arquivos para e do sistema da vítima, bem como instalar ferramentas maliciosas como o Cobalt Strike.

Isso, por sua vez, abre o caminho para a distribuição do software AnyDesk para, finalmente, impulsionar o ransomware FreeWorld, mas não antes de executar uma etapa de movimento lateral.

Diz-se também que os atacantes desconhecidos tentaram sem sucesso estabelecer persistência RDP através do Ngrok.

"O ataque inicialmente teve sucesso como resultado de um ataque de força bruta contra um servidor MS SQL", disseram os pesquisadores.

"É importante enfatizar a importância de senhas fortes, especialmente em serviços expostos ao público".

A revelação vem à medida que os operadores do ransomware Rhysida alegaram ter 41 vítimas, mais da metade delas localizadas na Europa.

Rhysida é um dos tipos de ransomware emergentes que surgiu em maio de 2023, adotando a tática cada vez mais popular de criptografar e exfiltrar dados sensíveis de organizações e ameaçar vazar as informações se as vítimas se recusarem a pagar.

Em 2023, testemunhou-se um aumento recorde nos ataques de ransomware seguinte a uma pausa em 2022, mesmo que a porcentagem de incidentes que resultaram na vítima pagando tenha caído para um mínimo histórico de 34%, de acordo com estatísticas compartilhadas pela Coveware em julho de 2023.

A quantidade média de resgate paga, por outro lado, atingiu $740,144, um aumento de 126% em relação ao primeiro trimestre de 2023.

As flutuações nas taxas de monetização têm sido acompanhadas pela continuação da evolução dos atores de ameaças de ransomware em suas técnicas de extorsão, incluindo compartilhamento de detalhes de suas técnicas de ataque para mostrar por que as vítimas não são elegíveis para um pagamento de seguro cibernético.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...