{"id":1126898,"date":"2024-01-09T16:24:33","date_gmt":"2024-01-09T16:24:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-turcos-explotan-servidores-ms-sql-mal-protegidos-en-todo-el-mundo\/"},"modified":"2024-01-09T16:24:37","modified_gmt":"2024-01-09T16:24:37","slug":"hackers-turcos-explotan-servidores-ms-sql-mal-protegidos-en-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-turcos-explotan-servidores-ms-sql-mal-protegidos-en-todo-el-mundo\/","title":{"rendered":"Hackers turcos explotan servidores MS SQL mal protegidos en todo el mundo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de enero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad de datos\/ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Hackers-turcos-explotan-servidores-MS-SQL-mal-protegidos-en-todo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los servidores Microsoft SQL (MS SQL) con poca seguridad est\u00e1n siendo atacados en las regiones de EE. UU., la Uni\u00f3n Europea y Am\u00e9rica Latina (LATAM) como parte de una campa\u00f1a en curso con motivaci\u00f3n financiera para obtener acceso inicial.<\/p>\n<p>&#8220;La campa\u00f1a de amenazas analizada parece terminar de dos maneras: vendiendo &#8216;acceso&#8217; al host comprometido o entregando cargas \u00fatiles de ransomware&#8221;, dijeron los investigadores de Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un informe t\u00e9cnico. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La campa\u00f1a, vinculada a actores de origen turco, lleva el nombre en clave <strong>RE#TURGENCIA<\/strong> por la firma de ciberseguridad.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704101155_859_Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El acceso inicial a los servidores implica la realizaci\u00f3n de ataques de fuerza bruta, seguidos del uso de <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sql\/database-engine\/configure-windows\/xp-cmdshell-server-configuration-option\" target=\"_blank\">opci\u00f3n de configuraci\u00f3n xp_cmdshell<\/a> para ejecutar comandos de shell en el host comprometido.  Esta actividad refleja la de una campa\u00f1a anterior denominada DB#JAMMER que sali\u00f3 a la luz en septiembre de 2023.<\/p>\n<p>Esta etapa allana el camino para la recuperaci\u00f3n de un script de PowerShell de un servidor remoto que es responsable de recuperar una carga \u00fatil ofuscada de la baliza Cobalt Strike.<\/p>\n<p>Luego, el kit de herramientas posterior a la explotaci\u00f3n se utiliza para descargar la aplicaci\u00f3n de escritorio remoto AnyDesk desde un recurso compartido de red montado para acceder a la m\u00e1quina y descargar herramientas adicionales como Mimikatz para recopilar credenciales y Advanced Port Scanner para realizar reconocimiento.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704817473_746_Hackers-turcos-explotan-servidores-MS-SQL-mal-protegidos-en-todo.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1704817473_746_Hackers-turcos-explotan-servidores-MS-SQL-mal-protegidos-en-todo.jpg\" alt=\"Servidores MS SQL\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Servidores MS SQL\"\/><\/a><\/div>\n<p>El movimiento lateral se logra mediante una utilidad leg\u00edtima de administraci\u00f3n del sistema llamada <a rel=\"nofollow noopener\" href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\">PsExec<\/a>que puede <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/psexec\" target=\"_blank\">ejecutar programas<\/a> en hosts remotos de Windows.<\/p>\n<p>Esa cadena de ataques, en \u00faltima instancia, culmina con el despliegue de <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_in\/research\/23\/a\/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html\" target=\"_blank\">Imitar ransomware<\/a>cuya variante tambi\u00e9n se utiliz\u00f3 en la campa\u00f1a DB#JAMMER.<\/p>\n<p>&#8220;Los indicadores y los TTP maliciosos utilizados en las dos campa\u00f1as son completamente diferentes, por lo que existe una gran probabilidad de que se trate de dos campa\u00f1as dispares&#8221;, dijo Kolesnikov a The Hacker News.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u201cM\u00e1s espec\u00edficamente, si bien los m\u00e9todos de infiltraci\u00f3n iniciales son similares, DB#JAMMER era un poco m\u00e1s sofisticado y utilizaba t\u00faneles.  RE#TURGENCE es m\u00e1s espec\u00edfico y tiende a utilizar herramientas leg\u00edtimas y monitoreo y administraci\u00f3n remotos, como AnyDesk, en un intento de integrarse con la actividad normal\u201d.<\/p>\n<p>Securonix dijo que descubri\u00f3 un error de seguridad operativa (OPSEC) cometido por los actores de amenazas que le permiti\u00f3 monitorear la actividad del portapapeles debido al hecho de que el <a rel=\"nofollow noopener\" href=\"https:\/\/support.anydesk.com\/knowledge\/file-manager-and-file-transfer\" target=\"_blank\">funci\u00f3n para compartir portapapeles<\/a> de AnyDesk estaba habilitado.<\/p>\n<p>Esto permiti\u00f3 descubrir sus or\u00edgenes turcos y su alias en l\u00ednea atseverse, que tambi\u00e9n corresponde a un perfil en Steam y a un foro de pirater\u00eda turco llamado <a rel=\"nofollow noopener\" href=\"https:\/\/spyhack.org\/forum\/\" target=\"_blank\">Hack esp\u00eda<\/a>.<\/p>\n<p>&#8220;Abst\u00e9ngase siempre de exponer servidores cr\u00edticos directamente a Internet&#8221;, advirtieron los investigadores.  &#8220;En el caso de RE#TURGENCE, los atacantes pudieron acceder directamente al servidor por fuerza bruta desde fuera de la red principal&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/turkish-hackers-exploiting-poorly.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de enero de 2024\ue804Sala de redacci\u00f3nSeguridad de datos\/ataque cibern\u00e9tico Los servidores Microsoft SQL (MS SQL) con poca<\/p>\n","protected":false},"author":1,"featured_media":1126899,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,8513,4662,6369,4668,201033,8975,340,4654,201031,4659,4653,4655,33936,4666,4665,7982,201032,7984,339,12001,4660],"class_list":["post-1126898","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-explotan","tag-filtracion-de-datos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-mal","tag-mundo","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-protegidos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-software-malicioso-ransomware","tag-sql","tag-todo","tag-turcos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1126898","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1126898"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1126898\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1126899"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1126898"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1126898"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1126898"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}