ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Hackers instalan puertas traseras en miles de servidores Microsoft SQL

Hackers han usado la fuerza bruta en miles de servidores vulnerables de Microsoft SQL (MSSQL) para instalar criptomineros y troyanos de acceso remoto (RAT). Esto desde mayo de 2018, tal como lo descubrieron los investigadores de Guardicore Labs en diciembre.

Esta campa√Īa de ataque sigue infectando activamente entre 2.000 y 3.000 servidores MSSQL a diario y se ha denominado Vollgar. Esto porque los scripts de criptominer√≠a que implementa en MSSQL comprometidos extrae criptomonedas Monero (XMR) y Vollar (VDS).

Sus operadores utilizan la fuerza bruta para violar las máquinas objetivo.  Posteriormente implementarán puertas traseras que dejan varios módulos maliciosos, incluidas herramientas de acceso remoto (RAT) y criptomineros.

“Tener servidores MS-SQL expuestos a Internet con credenciales d√©biles no es la mejor pr√°ctica”, explic√≥ el investigador de seguridad de Guardicore,¬†Ophir Harpaz. La afirmaci√≥n la hizo en un informe publicado hoy.¬†“Esto podr√≠a explicar c√≥mo esta campa√Īa ha logrado infectar alrededor de 3 mil m√°quinas de bases de datos diariamente”.

Ataques provenientes de China

Por lo general, los ataques de la campa√Īa Vollgar se originaron en aproximadamente 120 direcciones IP, en su mayor√≠a de China. Es probable que servidores MSSQL previamente comprometido se usaran como parte de una red de bots que escanea e intenta infectar otros objetivos potenciales.

Si bien algunos de estos bots permanecen activos por un tiempo muy corto, algunos de ellos han estado apuntando a la Red Global de Sensores (GGSN) de Guardicore. Esta situación ha estado activa durante más de tres meses en docenas de intentos de ataque.

“El servidor CNC principal de Vollgar fue operado desde una computadora en China. El servidor, que ejecuta una base de datos MS-SQL y un servidor web Tomcat, se vio comprometido por m√°s de un grupo de ataque”, dijo Harpaz.

“De hecho, encontramos casi diez puertas traseras diferentes que se utilizan para acceder a la m√°quina y leer el contenido de su sistema de archivos. Tambien para modificar su registro, descargar y cargar archivos y ejecutar comandos”.

A pesar de esto y de la cantidad de actividad maliciosa en el servidor comprometido, los propietarios del servidor no detectaron a los atacantes. Estos les permitieron alojar toda su infraestructura de ataque.

Los atacantes pueden realizar una amplia gama de actividades maliciosas a trav√©s de las dos plataformas de comando y control (C&C) utilizadas a lo largo de la campa√Īa. Las actividades van desde descargar archivos, instalar servicios de Windows y ejecutar keyloggers con capacidad de captura de pantalla. Asimismo, hasta activar la c√°mara web del servidor comprometido o micr√≥fono y el uso de los servidores infectados para lanzar ataques DDoS.

Atacantes sigilosos reinfectan servidores

Las víctimas pertenecen a una amplia gama de sectores industriales, que incluyen, entre otros, atención médica, aviación, informática, telecomunicaciones y educación superior. Los principales países que han recibido el ataque son China, India, Estados Unidos, Corea del Sur y Turquía.

“Con respecto al per√≠odo de infecci√≥n, la mayor√≠a (60%) de las m√°quinas infectadas permanecieron as√≠ solo por un corto per√≠odo de tiempo”, dijo Harpaz.¬†“Sin embargo, casi el 20% de todos los servidores violados permanecieron infectados durante m√°s de una semana e incluso m√°s de dos semanas”.

“Esto demuestra cu√°n exitoso es el ataque al ocultar sus huellas y evitar mitigaciones como los antivirus y los productos EDR. Alternativamente, es muy probable que esos no existan en los servidores en primer lugar”.

La cadena de ataque de Vollgar tambi√©n muestra la naturaleza altamente competitiva de sus operadores. Estos se esfuerzan por terminar de manera diligente y exhaustiva los procesos de otros actores maliciosos que se encuentran en servidores MSSQL comprometidos. Esto muestra cu√°n valiosos son los datos almacenados en servidores Microsoft SQL. Entre los datos se incluyen nombres de usuario, contrase√Īas y n√ļmeros de tarjeta cr√©ditos y m√°s.

“Hay una gran cantidad de ataques contra servidores MS-SQL. Sin embargo, solo hay medio mill√≥n de m√°quinas que ejecutan este servicio de base de datos”, agreg√≥ Harpass.

“Este n√ļmero relativamente peque√Īo de v√≠ctimas potenciales desencadena una competencia entre grupos por el control y los recursos. Estas peleas virtuales se pueden ver en muchos de los recientes ataques a gran escala”.

 

Cómo defenderte de los ataques de Vollgar.

Guardicore est√° proporcionando un¬†script de detecci√≥n de Powershell¬†gratuito y¬†de c√≥digo abierto. Est√° dise√Īado para ayudar a detectar las pistas y los IOC de Vollgar en m√°quinas potencialmente infectadas.

La firma de ciberseguridad también aconseja no exponer los servidores de bases de datos MSSQL a Internet, ni utilizar políticas de segmentación. Tampoco el acceso a la lista blanca para que sean accesibles solo a máquinas específicas en la red de una organización.

Los administradores también deben permitir el registro para poder vigilar de cerca los intentos de inicio de sesión sospechosos, inesperados o recurrentes.

“Si est√°s infectado, recomendamos poner en cuarentena inmediatamente la m√°quina infectada y evitar que acceda a otros activos en la red”, dijo Guardicore.

“Tambi√©n es importante cambiar todas las contrase√Īas de tus cuentas de usuario de MS-SQL por contrase√Īas seguras. Esto para evitar ser reinfectados por este u otros ataques de fuerza bruta”.

El a√Īo pasado, Winnti Group, respaldado por China, utiliz√≥ una herramienta maliciosa recientemente desarrollada llamada skip-2.0 para¬†ganar persistencia en los servidores MSSQL.

El grupo de hacking emple√≥ skip-2.0 para alojar puertas traseras en servidores MSSQL Server 11 y 12. Esto les permiti√≥ conectarse a cualquier cuenta en los servidores comprometidos utilizando una llamada “contrase√Īa m√°gica” y ocultar su actividad de los registros de seguridad.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información