Search

Alerta Ciberseguridad 33

Amenazas dirigidas a servidores SQL de Microsoft para implantar el ransomware FreeWorld

Las amenazas se aprovechan de servidores Microsoft SQL (MS SQL) mal protegidos para distribuir Cobalt Strike y una cepa de ransomware llamada FreeWorld.

La empresa de ciberseguridad Securonix, que ha bautizado la campaña como DB#JAMMER, afirma que destaca por la forma en que se emplea el conjunto de herramientas y la infraestructura.

“Algunas de estas herramientas incluyen software de enumeración, cargas útiles de RAT, software de explotación y robo de credenciales y, por último, cargas útiles de ransomware”, explicaron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un desglose técnico de la actividad.

“La carga útil de ransomware elegida parece ser una variante más reciente del ransomware Mimic llamada FreeWorld”.

El acceso inicial al host víctima se logra forzando brutas el servidor MS SQL, usándolo para enumerar la base de datos y aprovechando la opción de configuración xp_cmdshell para ejecutar comandos de shell y realizar reconocimiento.

La siguiente etapa implica tomar medidas para deteriorar el firewall del sistema y establecer la persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema víctima, así como instalar herramientas maliciosas como Cobalt Strike.

Déjanos tu email para suscribirte al Alerta Ciberseguridad. 

Compartir

Otras Publicaciones

Autores

Picture of Fabián Descalzo
Fabián Descalzo
Picture of Laura Dangelo
Laura Dangelo