Hackers instalan puertas traseras en miles de servidores Microsoft SQL
Hackers han usado la fuerza bruta en miles de servidores vulnerables de Microsoft SQL (MSSQL) para instalar criptomineros y troyanos de acceso remoto (RAT). Esto desde mayo de 2018, tal como lo descubrieron los investigadores de Guardicore Labs en diciembre.
Esta campaña de ataque sigue infectando activamente entre 2.000 y 3.000 servidores MSSQL a diario y se ha denominado Vollgar. Esto porque los scripts de criptominería que implementa en MSSQL comprometidos extrae criptomonedas Monero (XMR) y Vollar (VDS).
Sus operadores utilizan la fuerza bruta para violar las máquinas objetivo. Posteriormente implementarán puertas traseras que dejan varios módulos maliciosos, incluidas herramientas de acceso remoto (RAT) y criptomineros.
“Tener servidores MS-SQL expuestos a Internet con credenciales débiles no es la mejor práctica”, explicó el investigador de seguridad de Guardicore, Ophir Harpaz. La afirmación la hizo en un informe publicado hoy. “Esto podría explicar cómo esta campaña ha logrado infectar alrededor de 3 mil máquinas de bases de datos diariamente”.
Ataques provenientes de China
Por lo general, los ataques de la campaña Vollgar se originaron en aproximadamente 120 direcciones IP, en su mayoría de China. Es probable que servidores MSSQL previamente comprometido se usaran como parte de una red de bots que escanea e intenta infectar otros objetivos potenciales.
Si bien algunos de estos bots permanecen activos por un tiempo muy corto, algunos de ellos han estado apuntando a la Red Global de Sensores (GGSN) de Guardicore. Esta situación ha estado activa durante más de tres meses en docenas de intentos de ataque.
“El servidor CNC principal de Vollgar fue operado desde una computadora en China. El servidor, que ejecuta una base de datos MS-SQL y un servidor web Tomcat, se vio comprometido por más de un grupo de ataque”, dijo Harpaz.
“De hecho, encontramos casi diez puertas traseras diferentes que se utilizan para acceder a la máquina y leer el contenido de su sistema de archivos. Tambien para modificar su registro, descargar y cargar archivos y ejecutar comandos”.
A pesar de esto y de la cantidad de actividad maliciosa en el servidor comprometido, los propietarios del servidor no detectaron a los atacantes. Estos les permitieron alojar toda su infraestructura de ataque.
Los atacantes pueden realizar una amplia gama de actividades maliciosas a través de las dos plataformas de comando y control (C&C) utilizadas a lo largo de la campaña. Las actividades van desde descargar archivos, instalar servicios de Windows y ejecutar keyloggers con capacidad de captura de pantalla. Asimismo, hasta activar la cámara web del servidor comprometido o micrófono y el uso de los servidores infectados para lanzar ataques DDoS.
Atacantes sigilosos reinfectan servidores
Las víctimas pertenecen a una amplia gama de sectores industriales, que incluyen, entre otros, atención médica, aviación, informática, telecomunicaciones y educación superior. Los principales países que han recibido el ataque son China, India, Estados Unidos, Corea del Sur y Turquía.
“Con respecto al período de infección, la mayoría (60%) de las máquinas infectadas permanecieron así solo por un corto período de tiempo”, dijo Harpaz. “Sin embargo, casi el 20% de todos los servidores violados permanecieron infectados durante más de una semana e incluso más de dos semanas”.
“Esto demuestra cuán exitoso es el ataque al ocultar sus huellas y evitar mitigaciones como los antivirus y los productos EDR. Alternativamente, es muy probable que esos no existan en los servidores en primer lugar”.
La cadena de ataque de Vollgar también muestra la naturaleza altamente competitiva de sus operadores. Estos se esfuerzan por terminar de manera diligente y exhaustiva los procesos de otros actores maliciosos que se encuentran en servidores MSSQL comprometidos. Esto muestra cuán valiosos son los datos almacenados en servidores Microsoft SQL. Entre los datos se incluyen nombres de usuario, contraseñas y números de tarjeta créditos y más.
“Hay una gran cantidad de ataques contra servidores MS-SQL. Sin embargo, solo hay medio millón de máquinas que ejecutan este servicio de base de datos”, agregó Harpass.
“Este número relativamente pequeño de víctimas potenciales desencadena una competencia entre grupos por el control y los recursos. Estas peleas virtuales se pueden ver en muchos de los recientes ataques a gran escala”.
The #Vollgar attack campaign has been operating under the radar for ~2 years, brute forcing MS-SQL servers on the internet. With 2-3k servers infected daily, the attacker deploys powerful RATs and mines two cryptocurrencies. More in @Guardicore Labs blog: https://t.co/ZkmIAYPBy2
— Ophir Harpaz (@OphirHarpaz) April 1, 2020
Cómo defenderte de los ataques de Vollgar.
Guardicore está proporcionando un script de detección de Powershell gratuito y de código abierto. Está diseñado para ayudar a detectar las pistas y los IOC de Vollgar en máquinas potencialmente infectadas.
La firma de ciberseguridad también aconseja no exponer los servidores de bases de datos MSSQL a Internet, ni utilizar políticas de segmentación. Tampoco el acceso a la lista blanca para que sean accesibles solo a máquinas específicas en la red de una organización.
Los administradores también deben permitir el registro para poder vigilar de cerca los intentos de inicio de sesión sospechosos, inesperados o recurrentes.
“Si estás infectado, recomendamos poner en cuarentena inmediatamente la máquina infectada y evitar que acceda a otros activos en la red”, dijo Guardicore.
“También es importante cambiar todas las contraseñas de tus cuentas de usuario de MS-SQL por contraseñas seguras. Esto para evitar ser reinfectados por este u otros ataques de fuerza bruta”.
El año pasado, Winnti Group, respaldado por China, utilizó una herramienta maliciosa recientemente desarrollada llamada skip-2.0 para ganar persistencia en los servidores MSSQL.
El grupo de hacking empleó skip-2.0 para alojar puertas traseras en servidores MSSQL Server 11 y 12. Esto les permitió conectarse a cualquier cuenta en los servidores comprometidos utilizando una llamada “contraseña mágica” y ocultar su actividad de los registros de seguridad.
