Vollgar ataca servidores MS-SQL expostos à internet e os infecta com ferramentas de acesso remoto e criptomineradores

Uma campanha de violação de servidores SQL expostos à internet, que os infecta com ferramentas de acesso remoto e criptomineradores, foi descoberta e vem sendo monitorada há dois anos pela Guardicore Labs, empresa israelense de segurança de nuvem e datacenters.
Originada na China, a campanha tem infectado cerca de 3 mil servidores de bancos de dados diariamente e já chegou ao Brasil, segundo a Guardicore. A primeira vítima no país é uma companhia do setor industrial — cujo nome é mantido em sigilo — que teve violado um servidor SQL legado na nuvem.
Até o momento, os países mais visados são China, Índia, Estados Unidos, Coreia do Sul e Turquia, sendo que as vítimas do ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.
O primeiro incidente dessa campanha apareceu em maio de 2018 na Rede Global de Sensores da Guardicore (GGSN), uma rede de honeypots de alta interação. A campanha usa força bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (ferramentas de acesso remoto multifuncionais) e criptomineradores. A Guardicore batizou a campanha de Vollgar, que deriva da combinação do nome da criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar.
Veja isto
Chineses são indiciados por lavar mais de US$ 100 milhões em criptomoeda
Criptomoedas ajudam cartéis na América Latina a lavar dinheiro
Conforme explica o diretor de engenharia e vendas da Guardicore no Brasil, Fernando Ceolin, para que consiga minerar um grande valor em criptomoedas, o atacante precisa de muito poder de processamento, portanto, tem de atacar várias máquinas simultaneamente. A grande dificuldade das empresas, segundo ele, é identificar esse tipo de ataque e, depois de violada, como separar o tráfego malicioso do tráfego das operações normais. “Além de violar uma máquina para minerar criptomoeda, o atacante pode chegar a um banco de dados, por exemplo, e infectá-lo com um ransomware para pedir resgate”, diz ele.
Segundo a Guardicore, para atacar os 3 mil servidores de bancos de dados os criminosos utilizaram mais de 120 endereços IP, a grande maioria na China — provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Ainda de acordo com a empresa, em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.
Isso mostra o sucesso do ataque, capaz de ocultar seu rastro e contornar mitigações como antivírus e EDR (Endpoint Detection and Response), diz Ophir Harpaz, que assina o relatório da Guardicore sobre o Vollgar. Ele observa que embora existam apenas cerca de meio milhão de servidores MS-SQL, há muitos ataques dirigidos a eles. Esses servidores de banco de dados são atraentes para os invasores principalmente pelos dados que contêm, relacionados a informações pessoais, como nomes de usuário, senhas, números de cartão de crédito, etc.
Ceolin diz que para conter esse tipo de ataque a empresa oferece a plataforma de segurança Guardicore Centra, que possibilitada visualizar e proteger as infraestruturas de data center, nuvem ou nuvem híbrida. Para as empresas que queiram verificar se sua máquina Windows foi infectada, a Guardicore fornece um script Powershell de código-fonte aberto em seu website.