Серверы Microsoft SQL заражают ПК трояном-шифровальщиком FreeWorld
Эксперты компании Securonix обнаружили новую кампанию, нацеленную на слабозащищённые серверы Microsoft SQL. Атаки начинаются с подбора слабых логинов и паролей, а заканчиваются установкой Cobalt Strike и нового шифровальщика.
Свободный мир
Слабо защищённые серверы Microsoft SQL используются хакерами для распространения инструмента для пентестов Cobalt Strike и шифровальщика FreeWorld.
Эта программа, как указывается в анализе фирмы Securonix, представляет собой новый вариант шифровальщика Mimic, описанного экспертами по информационной безопасности фирмы Trend Micro в начале 2023 г. Впервые атаки с использованием Mimic были обнаружены в июне 2022 г. Вредонос атаковал русско- и англоязычных пользователей.
FreeWorld, в свою очередь, нацелен на английский и множество других европейских языков, но русского среди них нет.
FreeWorld - один из вредоносов, распространяемых в рамках кампании по серийному взлому , которую в Securonix окрестили «DB#JAMMER». Сам шифровальщик загружается на финальном этапе атаки, а до этого в систему попадает целый ворох вредоносных программ, в том числе RAT-троянцев, эксплойтов, стилеров (крадущих реквизиты доступа программ) и так далее.
Атака, однако, начинается с брутфорса (автоматического подбора слабых пар логинов и паролей) серверов MS SQL. Затем производится нумерация базы данных SQL и запускается параметр конфигурации сервера xp_cmdshell. Этот параметр позволяет злоумышленникам запускать различные команды и производить разведку подсети; по умолчанию он отключён из соображений безопасности, злоумышленники его, естественно, активируют.
Следующий этап - вывод из строя системного файерволла и обеспечение постоянства присутствия в системе. Вредоносы осуществляют подключение к удалённому SMB-серверу и устанавливают в систему Cobalt Strike.
Это, в свою очередь, открывает путь для установки в систему ПО AnyDesk - коммерческой программы, предназначенной для управления удалённым рабочим столом, а затем - и загрузку FreeWorld.
Упражнения в языкознании
В публикации Securonix отмечено, что с помощью вредоносов на целевом сервере создаются учётные записи - windows, adminv$ и mediaadmin$, каждая из которых была добавлена в группы пользователей средств управления удалённым рабочим столом и, собственно, административные группы.
Для этого злоумышленники запускали в командной строке многосоставную программу, которая должна была включить новосозданные учётные записи в административные группы - сразу для нескольких языковых локалей. По-видимому - на тот случай, если операторам атаки не удастся сразу определить язык в целевой системе. Команда фактически перебирает варианты слова «администраторы» в разных языках - английском (administrators), немецком (administratoren), польском (administratorzy), каталанском (administradors) и испанском (administradores).
«По этому списку языков можно также сделать выводы о географическом ареале атак, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - На английском и испанском говорят далеко не только в Европе, но вот каталанский язык распространён на ограниченной территории - между восточными территориями Испании и островом Сардиния к Западу от Италии. Из этого можно сделать вывод, что атаки направлены на какой-то ограниченный диапазон коммерческих (и, вероятно, государственных) структур».
Как отмечает издание The Hacker News, в 2023 г. уже отмечен рекордный скачок в количестве атак с помощью шифровальщиков. Значительно вырос и средний размер требуемого выкупа: с начала года - более чем на 126% (до $740 144).
В то же время, количество жертв, согласившихся выплатить выкуп, упало до рекордно низких показателей. Согласно данным компании Coveware, готовых платить оказалось всего 34%.