Los servidores Microsoft SQL mal protegidos en EE. UU., la UE y LATAM están siendo atacados por actores de amenazas turcos con motivación financiera en una campaña en curso para implementar MIMIC. Secuestro de datos cargas útiles, según una investigación de Securonix.
La campaña de ciberamenaza financiera denominada RE#TURGENCE obtiene acceso inicial a los sistemas de las víctimas al atacar y explotar servidores de bases de datos MSSQL configurados de manera insegura, una técnica de infección observada a principios de este año con la campaña DB#JAMMER que posteriormente entregó el ransomware Cobalt Strike y FreeWorld.
«La campaña de amenazas analizada parece terminar de dos maneras: vendiendo ‘acceso’ al host comprometido o entregando cargas útiles de ransomware», dijo Securonix en una publicación de blog. «El cronograma de los eventos fue aproximadamente un mes desde el acceso inicial hasta la implementación del ransomware MIMIC en el dominio de la víctima».
Securonix pudo descubrir los detalles de la campaña debido a una falla importante de OPSEC por parte de los atacantes. «A medida que se desarrolló el ataque, pudimos monitorear de cerca a los atacantes y el sistema que estaban usando a través de su propio software de administración y monitoreo remoto (RMM)», agregó Securonix.
Acceso inicial mediante fuerza bruta
Las actividades de amenazas de RE#TURGENCE que Securomix estaba rastreando inicialmente tenían a los actores de amenazas fuerza bruta ingresan al servidor MSSQL de la víctima y explotan el procedimiento xp_cmdshell, que permite la ejecución de comandos del sistema operativo desde el servidor SQL.
«Normalmente, este procedimiento está deshabilitado de forma predeterminada y no debería habilitarse, especialmente en servidores expuestos públicamente», dijo Securonix.