Explotación de la base de datos MSSQL: Los hackers distribuyen FreeWorld
En el espectro siempre cambiante de las ciberamenazas, los servidores Microsoft SQL (MSSQL) mal protegidos se han convertido en objetivos clave para los hackersespecialmente los grupos de ransomware. En una reciente oleada de explotación de bases de datos MSSQL conocidos como DB#JAMMERlos estafadores utilizaron técnicas de fuerza bruta para entrar en servidores MSSQL antes de lanzar una combinación de Cobalt Strike y una nueva forma del ransomware ransomware Mimic conocido como ataque ransomware FreeWorld.
La intrincada estrategia de ataque: acceso y persistencia
Los atacantes iniciaron su ransomware, dirigido a MSSQL utilizando métodos de fuerza bruta para adivinar las credenciales del servidor MSSQL. No está claro si utilizaron enfoques basados en diccionarios o la pulverización de contraseñasque consiste en utilizar combinaciones de nombres de usuario y contraseñas obtenidas de ataques anteriores a bases de datos.
Cuando se trata de la explotación de bases de datos MSSQL, se ha revelado que los hackers explotan bases de datos siguiendo un proceso. Los hackers examinaron meticulosamente la base de datos después de obtener el primer acceso, enumerando todos los usuarios con privilegios de acceso. También buscaron la presencia de una función conocida como xp_cmdshell. Esta sentencia Transact-SQL permite a los administradores de bases de datos ejecutar comandos shell en el entorno Windows y obtener los resultados en forma de texto. Los atacantes hicieron un uso considerable de xp_cmdshell. Comenzaron ejecutando aplicaciones de Windows como wmic.exe, net.exe e ipconfig.exe para obtener información del sistema y de la red. A continuación, lo utilizaban para alterar las cuentas de Windows y el registro del sistema.
Sorprendentemente, los atacantes añadieron tres nuevos usuarios al host de la víctima: 'Windows', 'adminv$' y 'mediaadmin$'. Cada uno de estos usuarios fue añadido a los grupos "administradores" y "usuarios de escritorio remoto". Curiosamente, los atacantes crearon estas cuentas y modificaron la pertenencia a los grupos utilizando un comando masivo de una sola línea que estaba adaptado a varios idiomas, incluyendo inglés, alemán, polaco, español y catalán.
En para garantizar que las contraseñas y las sesiones de los nuevos usuarios no caducaran nunca.. El registro se modificó ampliamente, incluyendo la habilitación del servicio de Protocolo de Escritorio Remoto (RDP), la desactivación de las limitaciones de Control de Acceso de Usuario y la ocultación de los usuarios remotos conectados de la pantalla de inicio de sesión local. Estos violación de la seguridad de la base de datos fueron diseñados para proporcionar a los atacantes control remoto sobre el sistema de una forma más sutil y difícil de detectar que utilizando los comandos xp_cmdshell de la base de datos.
Sin embargo, los hackers se encontraron con un obstáculo: el cortafuegos de la red prohibía las conexiones RDP entrantes. Para evitarlo, intentaron implementar Ngrokun proxy inverso y una solución de túnel.
Cargas maliciosas
Los atacantes crearon un recurso compartido SMB remoto a un servidor que controlaban, lo que les permitió montar localmente un directorio que contenía sus herramientas y cargas útiles. Este repositorio contenía un agente de comando y control Cobalt Strike guardado como 'srv.exe', así como una versión del software de escritorio remoto AnyDesk.
También utilizaron un escáner de puertos de red y las herramientas de volcado de credenciales Mimikatz para intentar navegar por la red.. Cuando los atacantes determinaron que la máquina estaba totalmente penetrada, dejaron caer un archivo llamado '5000.exeque era un dropper para un programa ransomware llamado FreeWorld. En realidad, FreeWorld es una versión actualizada del conocido ransomware Mimic.
Tanto Mimic como FreeWorld utilizan una aplicación complementaria llamada 'Everything.exe' para localizar los archivos a cifrar. Los archivos cifrados tienen una extensión '.FreeWorldEncryption', y el ransomware incluye un archivo 'FreeWorld-Contact.txt' con instrucciones sobre cómo pagar el rescate.
Medidas defensivas contra la explotación de bases de datos MSSQL
Según una investigación de Trustwave MSSQL es el sistema de gestión de bases de datos relacionales más atacado. La mayoría de los ataques utilizan técnicas de adivinación de contraseñas por fuerza bruta, lo que subraya la importancia de utilizar contraseñas únicas y complicadas para las bases de datos MSSQL accesibles a través de Internet.
Buenas prácticas de seguridad en MSSQL
Para prevenir las vulnerabilidades de MSSQLtambién es fundamental limitar el uso del método xp_cmdshell en los sistemas. Sin él, los atacantes lo tendrían mucho más difícil para conseguir la ejecución remota de código en los sistemas objetivo.
Considere el uso de túneles VPN para proteger los servidores MSSQL en lugar de exponerlos directamente a Internet para aumentar la seguridad. Se recomienda supervisar periódicamente los directorios de almacenamiento de malware habituales, como "C:WindowsTemp". La supervisión a nivel de proceso, como el registro de Sysmon y PowerShell, también puede ayudar a reforzar las defensas contra estos métodos de distribución de ransomware. métodos de distribución de ransomware.
Conclusión
A medida que crecen las amenazas cibernéticas, es fundamental que las organizaciones conozcan y apliquen medidas de seguridad sólidas para implementen fuertes medidas de seguridad para seguridad de bases de datos MSSQL. Puede reforzar sus defensas contra los atacantes que buscan explotar los fallos en la arquitectura de su base de datos mediante contraseñas seguras, minimizando los procedimientos peligrosos y adoptando una supervisión eficaz.. Esto reducirá el tiempo de inactividad y garantizará el cumplimiento. Además, también debe aprender a recuperarse del ransomwareya que puede ayudar a garantizar la continuidad de la empresa frente a amenazas crecientes como el ransomware FreeWorld.
Las fuentes de este artículo incluyen artículos en Cybersecurity News y CSO.