Servidores Microsoft SQL pirateados para propagar ransomware

Los expertos en seguridad cibernética han detectado una nueva campaña de piratería que aprovecha los servidores MS-SQL mal protegidos para entregar el ransomware Trigona (se abre en una nueva pestaña).

Investigadores de la empresa surcoreana AhnLab han observado a actores de amenazas que buscan servidores Microsoft SQL expuestos a Internet y luego intentan acceder a ellos mediante ataques de fuerza bruta o de diccionario. Estos ataques funcionan si los servidores tienen contraseñas simples y fáciles de adivinar, y al automatizar el proceso de inicio de sesión, los piratas informáticos pueden acceder fácilmente a muchos servidores.

Una vez que obtienen acceso al punto final, los atacantes primero instalarán malware que los investigadores han denominado CLR Shell. Este malware recupera información del sistema, modifica la configuración de la cuenta comprometida y transfiere privilegios a LocalSystem a través de una vulnerabilidad en el servicio de inicio de sesión secundario de Windows.

Eliminar copias de seguridad

"CLR Shell es un tipo de malware de ensamblaje CLR que recibe comandos de actores maliciosos y realiza comportamientos maliciosos, similares a WebShells de servidores web", dijeron los investigadores.

El siguiente paso es usar el cuentagotas de malware svcservice.exe para implementar el ransomware Trigona. Durante esta etapa, todos los archivos en el dispositivo se cifran y se deja una nota de rescate que indica a las víctimas cómo comunicarse con los atacantes y negociar la liberación de una clave de descifrado. Los investigadores también dijeron que Trigona desactiva la recuperación del sistema y elimina todas las instantáneas de los volúmenes de Windows para evitar que las víctimas recuperen sus sistemas a través de una copia de seguridad.

Si bien las empresas pueden sentirse tentadas a pagar el rescate, pensando que sería la forma más fácil y económica de solucionar el problema, el consenso general es que deben abstenerse de ceder ante las demandas criminales. Datos recientes de Rubrik Zero Labs revelaron que entre todas las organizaciones que sufrieron un ataque de ransomware y pagaron por el descifrador, solo el 16 % logró recuperar todos sus datos.

El pago del rescate también financia futuras actividades delictivas, que es otra razón para no ceder ante las demandas de los piratas informáticos.

Vía: BleepingComputer (se abre en una nueva pestaña)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir