Servidores SQL são alvo de hack para implantar ransomware

Hackers estão invadindo servidores mal protegidos e expostos internamente para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos
Da Redação
20/04/2023

Servidores Microsoft SQL mal protegidos e expostos internamente estão sendo violados por meio de ataques de força bruta ou de dicionário que se aproveitam de credenciais de conta fáceis de adivinhar para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos.

Ataque de dicionário é um método de invasão em que é inserido sistematicamente cada palavra em um dicionário como uma senha. Ele também pode ser usado na tentativa de encontrar a chave necessária para descriptografar uma mensagem ou documento criptografado.

Depois de se conectar a um servidor, o operador da ameaça implanta o malware, apelidado de CLR Shell por pesquisadores de segurança da empresa sul-coreana de segurança cibernética AhnLab, que detectaram os ataques.

Esse malware é usado para coletar informações do sistema, alterar a configuração da conta comprometida e aumentar os privilégios do LocalSystem, explorando uma vulnerabilidade no Windows Secondary Logon Service — que será necessário para iniciar o ransomware como um serviço. “O CLR Shell é um tipo de malware assembly CLR que recebe comandos do operador da ameaça e executa comportamentos maliciosos, de forma semelhante aos WebShells de servidores web”, dizem os pesquisadores da AhnLab.

Segundo eles, na etapa seguinte, o invasor instala e lança um malware dropper como o serviço svcservice.exe, que ele usa para iniciar o ransomware Trigona como svchost.exe. O invasor também configura o binário do ransomware para iniciar automaticamente em cada reinicialização do sistema por meio de uma chave de execução automática do Windows, visando garantir que os sistemas sejam criptografados mesmo após uma reinicialização.

Antes de criptografar o sistema e publicar as notas de resgate, o malware desativa a recuperação do sistema e exclui todas as cópias do Windows Volume Shadow, impossibilitando a recuperação sem a chave de descriptografia.

Veja isso
Servidores SQL e MySQL são alvo do malware Gh0stCringe
Servidores SQL sob ataques do ransomware TargetCompany

Detectado pela primeira vez em outubro de 2022 pelo MalwareHunterTeam, o grupo que opera o ransomware Trigona é conhecido por aceitar apenas pagamentos de resgate de vítimas em criptomoeda Monero. Ele criptografa todos os arquivos nos dispositivos das vítimas, exceto aqueles em pastas específicas, incluindo os diretórios Windows e Arquivos de Programas.

Antes da criptografia, a gangue também alega roubar documentos confidenciais que serão adicionados ao seu site de vazamento na dark web. Os hackers do Trigona estão por trás de um fluxo constante de ataques, com ao menos 190 envios à plataforma ID Ransomware desde o início do ano.

Compartilhar:

Últimas Notícias