Hakeri iskorištavaju neosigurane Microsoft SQL servere u novoj kampanji za isporuku ransomwarea pod nazivom FreeWorld. Securonix istraživači su kampanju nazvali DB#JAMMER i ona se ističe po načinu na koji se koriste set alata i infrastruktura.
Lanac napada
- Početni pristup hostu žrtve se postiže brutalnim korištenjem MS SQL servera.
- Jednom kada se eksploatišu, hakeri počinju da nabrajaju bazu podataka i izvršavaju shekk komande da oštete firewall sistema.
- Posljedično, ovo im omogućava da uspostave postojanost na hostu i povežu se na udaljeni SMB dio za prijenos datoteka, kao i malicioznih alata kao što je Cobalt Strike .
- Ovo, zauzvrat, otvara put za distribuciju implementacije AnyDesk softvera putem kojeg se FreeWorld ransomware postavlja.
- U nekim slučajevima, hakeri pokušavaju uspostaviti postojanost RDP-a preko Ngroka.
O FreeWorld ransomwareu
- Čini se da je FreeWorld ransomware varijanta Mimic ransomwarea jer slijedi slične TTP-ove. Jedna od sličnosti je upotreba legitimne aplikacije pod nazivom Everything.exe za upit i lociranje ciljnih datoteka koje treba šifrirati.
- Nakon izvršenja, ransomware šifrira žrtvu i koristi ekstenziju the.FreeWorldEncryption za dodavanje šifrovanih datoteka.
- Nakon toga, kreira tekstualnu datoteku pod nazivom ‘FreeWorld-Contact.txt’ sa uputstvima o tome kako platiti otkupninu.
Ranjivi SQL serveri nastavljaju da privlače hakere
- Jedinica 42 mreže Palo Alto otkrila je da je grupa TargetCompany pokazala 174% povećanja aktivnosti ransomwarea koji je eksploatisao ranjive SQL servere širom svijeta.
- U odvojenom incidentu, hakeri ransomware-a Trigona ciljali su slabo konfigurisane MS SQL servere kako bi implementirali ransomware.
Zaključak
Budući da se napad pokreće brute force napadima, važno je koristiti jake i složene lozinke, posebno na javno izloženim servisima. Nadalje, savjetuje se korištenje pouzdanog VPN-a za daljinski pristup uslugama. Pored toga, organizacije mogu smanjiti svoju površinu napada povezanu sa MS SQL uslugama tako što će otkloniti nedostatke ili ograničiti svoju izloženost internetu.
Izvor: Cyware Alerts – Hacker News