Amenazas dirigidas a servidores SQL de Microsoft para implantar el ransomware FreeWorld
Las amenazas se aprovechan de servidores Microsoft SQL (MS SQL) mal protegidos para distribuir Cobalt Strike y una cepa de ransomware llamada FreeWorld.
La empresa de ciberseguridad Securonix, que ha bautizado la campaña como DB#JAMMER, afirma que destaca por la forma en que se emplea el conjunto de herramientas y la infraestructura.
“Algunas de estas herramientas incluyen software de enumeración, cargas útiles de RAT, software de explotación y robo de credenciales y, por último, cargas útiles de ransomware”, explicaron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un desglose técnico de la actividad.
“La carga útil de ransomware elegida parece ser una variante más reciente del ransomware Mimic llamada FreeWorld”.
El acceso inicial al host víctima se logra forzando brutas el servidor MS SQL, usándolo para enumerar la base de datos y aprovechando la opción de configuración xp_cmdshell para ejecutar comandos de shell y realizar reconocimiento.
La siguiente etapa implica tomar medidas para deteriorar el firewall del sistema y establecer la persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema víctima, así como instalar herramientas maliciosas como Cobalt Strike.