Script de detección de malware para verificarlo
Durante los últimos dos años los atacantes han estado infectando y reinfectando servidores MS SQL mal protegidos, difundiendo el malware de otros delincuentes y explotando su poder de cómputo para extraer las criptomonedas Vollar y Monero.
Los administradores y los equipos de seguridad de TI limpian el 61.5 por ciento de las máquinas infectadas en dos días, y el resto entre tres y 14 días pero, según los investigadores de Guardicore Labs, el 10 por ciento de las víctimas terminan reinfectadas, probablemente porque "la eliminación de malware a menudo se realiza de manera parcial, sin una investigación en profundidad sobre la causa raíz de la infección".
Sobre la campaña y la botnet de servidores MS SQL
Esta campaña, denominada Vollgar por los investigadores, se lleva a cabo desde al menos mayo de 2018. Los atacantes logran comprometer diariamente alrededor de 3.000 máquinas de bases de datos, pertenecientes a empresas de diversos sectores industriales y ubicadas en todo el mundo.
Los atacantes obtienen acceso por fuerza bruta a las bases de datos objetivo. Una vez que se logra el acceso, ellos:
• Realizan cambios en la configuración de la base de datos para permitir la ejecución futura de comandos y la descarga de binarios de malware
• Establecen múltiples usuarios de puerta trasera en la máquina (tanto en el contexto de la base de datos MS SQL como en el del sistema operativo) y elevar sus privilegios
• Eliminar la actividad de otros actores de amenazas y los rastros de esa actividad de la máquina (eliminan las claves utilizadas para la persistencia, los valores que permiten que el malware se una a procesos legítimos, etc.)
• Escriben varios scripts de descarga
• Descargan varios módulos RAT y un criptominer basado en XMRig.
Los módulos RAT devuelven el teléfono a los servidores de comando y control y entregan información sobre el sistema (datos de ubicación, datos del sistema), el cryptominer comienza a extraer Monero y la moneda alternativa Vollar.
Detección, prevención y mitigación de ataques
Microsoft SQL Server es un sistema/software de administración de bases de datos relacionales que puede ejecutarse en computadoras que ejecutan cualquiera de los sistemas operativos más populares (Windows, Linux, macOS).
Los atacantes apuntan a máquinas Windows con conexión a Internet que ejecutan servidores MS SQL mal protegidos.
Es imprescindible el uso de contraseñas de cuentas de usuario MS SQL fuertes y únicas, y los investigadores aconsejan no exponer los servidores de bases de datos a Internet.
"En cambio, deben ser accesibles a máquinas específicas dentro de la organización a través de políticas de segmentación y acceso a listas blancas. Recomendamos habilitar el registro para monitorear y alertar sobre intentos de inicio de sesión sospechosos, inesperados o recurrentes", anotaron.
Para aquellos que no están seguros de si sus instalaciones se han visto comprometidas, los investigadores han proporcionado una lista de IoC y un script de detección que pueden usar para verificarlo.
“Si está infectado, recomendamos encarecidamente poner en cuarentena inmediatamente la máquina infectada y evitar que acceda a otros activos en la red. También es importante cambiar todas las contraseñas de la cuenta de usuario de MS SQL por contraseñas seguras, para evitar ser reinfectados por este u otros ataques de fuerza bruta", concluyeron.