Los actores de amenazas están explotando servidores Microsoft SQL (MS SQL) mal protegidos para distribuir Cobalt Strike y una cepa de ransomware llamada FreeWorld.
La empresa de ciberseguridad Securonix, que ha bautizado la campaña DB#JAMMERdijo que se destaca por la forma en que se emplean el conjunto de herramientas y la infraestructura.
«Algunas de estas herramientas incluyen software de enumeración, cargas útiles RAT, software de explotación y robo de credenciales y, finalmente, cargas útiles de ransomware», afirman los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dicho en un desglose técnico de la actividad.
«La carga útil de ransomware elegida parece ser una variante más nueva de Imitar ransomware llamado Mundo Libre.»
El acceso inicial al host de la víctima se logra mediante la fuerza bruta del servidor MS SQL, usándolo para enumerar la base de datos y aprovechando el opción de configuración xp_cmdshell para ejecutar comandos de shell y realizar reconocimientos.
La siguiente etapa implica tomar medidas para dañar el firewall del sistema y establecer la persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema víctima, así como instalar herramientas maliciosas como Cobalt Strike.
Esto, a su vez, allana el camino para que la distribución del software AnyDesk impulse en última instancia el ransomware FreeWorld, no sin antes llevar a cabo un paso de movimiento lateral. También se dice que los atacantes desconocidos intentaron sin éxito establecer la persistencia de RDP a través de Ngrok.
«El ataque inicialmente tuvo éxito como resultado de un ataque de fuerza bruta contra un servidor MS SQL», dijeron los investigadores. «Es importante enfatizar la importancia de contraseñas seguras, especialmente en servicios expuestos públicamente».
La divulgación se produce cuando los operadores del ransomware Rhysida han reclamado 41 víctimas, más de la mitad de ellas ubicadas en Europa.
Rhysida es una de las cepas incipientes de ransomware que surgió en mayo de 2023, adoptando la táctica cada vez más popular de cifrar y exfiltrar datos confidenciales de las organizaciones y amenazar con filtrar la información si las víctimas se niegan a pagar.
También sigue al lanzamiento de un descifrador gratuito para un ransomware llamado Grupo clave debido a múltiples errores criptográficos en el programa. Sin embargo, el script Python solo funciona en muestras compiladas después del 3 de agosto de 2023.
«El ransomware Key Group utiliza una clave estática codificada en base64 N0dQM0I1JCM= para cifrar los datos de las víctimas», la empresa holandesa de ciberseguridad EclecticIQ dicho en un informe publicado el jueves.
«El actor de la amenaza intentó aumentar la aleatoriedad de los datos cifrados mediante el uso de una técnica criptográfica llamada salting. La sal era estática y se usaba para cada proceso de cifrado, lo que plantea una falla significativa en la rutina de cifrado».
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
2023 ha sido testigo de un aumento récord en los ataques de ransomware después de una pausa en 2022, incluso cuando el porcentaje de incidentes en los que la víctima pagó ha caído a un mínimo histórico del 34%, según Estadísticas compartido por Coveware en julio de 2023.
El monto promedio del rescate pagado, por otro lado, alcanzó los $740,144, un 126% más que en el primer trimestre de 2023.
Las fluctuaciones en las tasas de monetización han ido acompañadas de actores de amenazas de ransomware que continúan evolucionando su arte de extorsión, incluido el intercambio de detalles de sus técnicas de ataque para mostrar por qué sus víctimas no son elegibles para un pago de seguro cibernético.
«Arrebatar afirma que publicarán detalles de cómo los ataques contra víctimas que no pagan tuvieron éxito con la esperanza de que las aseguradoras decidan que los incidentes no deben estar cubiertos por el ransomware de seguros», dijo el investigador de seguridad de Emsisoft, Brett Callow, en una publicación compartida en X (anteriormente Twitter) el pasado mes.