Los actores de amenazas est\u00e1n explotando servidores Microsoft SQL (MS SQL) mal protegidos para distribuir Cobalt Strike y una cepa de ransomware llamada FreeWorld.<\/p>\n
La empresa de ciberseguridad Securonix, que ha bautizado la campa\u00f1a DB#JAMMER<\/strong>dijo que se destaca por la forma en que se emplean el conjunto de herramientas y la infraestructura.<\/p>\n “Algunas de estas herramientas incluyen software de enumeraci\u00f3n, cargas \u00fatiles RAT, software de explotaci\u00f3n y robo de credenciales y, finalmente, cargas \u00fatiles de ransomware”, afirman los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dicho<\/a> en un desglose t\u00e9cnico de la actividad.<\/p>\n “La carga \u00fatil de ransomware elegida parece ser una variante m\u00e1s nueva de Imitar ransomware<\/a> llamado Mundo Libre.”<\/p>\n El acceso inicial al host de la v\u00edctima se logra mediante la fuerza bruta del servidor MS SQL, us\u00e1ndolo para enumerar la base de datos y aprovechando el opci\u00f3n de configuraci\u00f3n xp_cmdshell<\/a> para ejecutar comandos de shell y realizar reconocimientos.<\/p>\n La siguiente etapa implica tomar medidas para da\u00f1ar el firewall del sistema y establecer la persistencia conect\u00e1ndose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema v\u00edctima, as\u00ed como instalar herramientas maliciosas como Cobalt Strike.<\/p>\n Esto, a su vez, allana el camino para que la distribuci\u00f3n del software AnyDesk impulse en \u00faltima instancia el ransomware FreeWorld, no sin antes llevar a cabo un paso de movimiento lateral. Tambi\u00e9n se dice que los atacantes desconocidos intentaron sin \u00e9xito establecer la persistencia de RDP a trav\u00e9s de Ngrok.<\/p>\n “El ataque inicialmente tuvo \u00e9xito como resultado de un ataque de fuerza bruta contra un servidor MS SQL”, dijeron los investigadores. “Es importante enfatizar la importancia de contrase\u00f1as seguras, especialmente en servicios expuestos p\u00fablicamente”.<\/p>\n La divulgaci\u00f3n se produce cuando los operadores del ransomware Rhysida han reclamado<\/a> 41 v\u00edctimas, m\u00e1s de la mitad de ellas ubicadas en Europa.<\/p>\n Rhysida es una de las cepas incipientes de ransomware que surgi\u00f3 en mayo de 2023, adoptando la t\u00e1ctica cada vez m\u00e1s popular de cifrar y exfiltrar datos confidenciales de las organizaciones y amenazar con filtrar la informaci\u00f3n si las v\u00edctimas se niegan a pagar.<\/p>\n Tambi\u00e9n sigue al lanzamiento de un descifrador gratuito para un ransomware llamado Grupo clave<\/a> debido a m\u00faltiples errores criptogr\u00e1ficos en el programa. Sin embargo, el script Python solo funciona en muestras compiladas despu\u00e9s del 3 de agosto de 2023.<\/p>\n “El ransomware Key Group utiliza una clave est\u00e1tica codificada en base64 N0dQM0I1JCM= para cifrar los datos de las v\u00edctimas”, la empresa holandesa de ciberseguridad EclecticIQ dicho<\/a> en un informe publicado el jueves.<\/p>\n “El actor de la amenaza intent\u00f3 aumentar la aleatoriedad de los datos cifrados mediante el uso de una t\u00e9cnica criptogr\u00e1fica llamada salting. La sal era est\u00e1tica y se usaba para cada proceso de cifrado, lo que plantea una falla significativa en la rutina de cifrado”.<\/p>\n Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa<\/p>\n <\/a><\/p>\n Descubra c\u00f3mo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda c\u00f3mo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso despu\u00e9s de una vulneraci\u00f3n. <\/p>\n Potencia tus habilidades<\/a><\/section>\n 2023 ha sido testigo de un aumento r\u00e9cord en los ataques de ransomware despu\u00e9s de una pausa en 2022, incluso cuando el porcentaje de incidentes en los que la v\u00edctima pag\u00f3 ha ca\u00eddo a un m\u00ednimo hist\u00f3rico del 34%, seg\u00fan Estad\u00edsticas<\/a> compartido por Coveware en julio de 2023.<\/p>\n El monto promedio del rescate pagado, por otro lado, alcanz\u00f3 los $740,144, un 126% m\u00e1s que en el primer trimestre de 2023.<\/p>\n Las fluctuaciones en las tasas de monetizaci\u00f3n han ido acompa\u00f1adas de actores de amenazas de ransomware que contin\u00faan evolucionando su arte de extorsi\u00f3n, incluido el intercambio de detalles de sus t\u00e9cnicas de ataque para mostrar por qu\u00e9 sus v\u00edctimas no son elegibles para un pago de seguro cibern\u00e9tico<\/a>.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n![\"Servidores](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1693589216_582_Actores-de-amenazas-que-se-dirigen-a-servidores-Microsoft-SQL.jpg\" "\\"Servidores")
<\/div>\n