¿Son tus servidores MS SQL parte de una botnet de minería de criptomonedas? ¡Revisalo ahora!

¿Son tus servidores MS SQL parte de una botnet de minería de criptomonedas? ¡Revisalo ahora!
Servidor Microsoft SQL Server
Modificado por última vez en Jueves, 02 Abril 2020 18:53
(0 votos)

Script de detección de malware para verificarlo

Durante los últimos dos años los atacantes han estado infectando y reinfectando servidores MS SQL mal protegidos, difundiendo el malware de otros delincuentes y explotando su poder de cómputo para extraer las criptomonedas Vollar y Monero.

Los administradores y los equipos de seguridad de TI limpian el 61.5 por ciento de las máquinas infectadas en dos días, y el resto entre tres y 14 días pero, según los investigadores de Guardicore Labs, el 10 por ciento de las víctimas terminan reinfectadas, probablemente porque "la eliminación de malware a menudo se realiza de manera parcial, sin una investigación en profundidad sobre la causa raíz de la infección".

Sobre la campaña y la botnet de servidores MS SQL

Esta campaña, denominada Vollgar por los investigadores, se lleva a cabo desde al menos mayo de 2018. Los atacantes logran comprometer diariamente alrededor de 3.000 máquinas de bases de datos, pertenecientes a empresas de diversos sectores industriales y ubicadas en todo el mundo.

Guardicore ms sql infection rate

Los atacantes obtienen acceso por fuerza bruta a las bases de datos objetivo. Una vez que se logra el acceso, ellos:

• Realizan cambios en la configuración de la base de datos para permitir la ejecución futura de comandos y la descarga de binarios de malware
• Establecen múltiples usuarios de puerta trasera en la máquina (tanto en el contexto de la base de datos MS SQL como en el del sistema operativo) y elevar sus privilegios
• Eliminar la actividad de otros actores de amenazas y los rastros de esa actividad de la máquina (eliminan las claves utilizadas para la persistencia, los valores que permiten que el malware se una a procesos legítimos, etc.)
• Escriben varios scripts de descarga
• Descargan varios módulos RAT y un criptominer basado en XMRig.

Los módulos RAT devuelven el teléfono a los servidores de comando y control y entregan información sobre el sistema (datos de ubicación, datos del sistema), el cryptominer comienza a extraer Monero y la moneda alternativa Vollar.

Detección, prevención y mitigación de ataques

Microsoft SQL Server es un sistema/software de administración de bases de datos relacionales que puede ejecutarse en computadoras que ejecutan cualquiera de los sistemas operativos más populares (Windows, Linux, macOS).

Los atacantes apuntan a máquinas Windows con conexión a Internet que ejecutan servidores MS SQL mal protegidos.

Es imprescindible el uso de contraseñas de cuentas de usuario MS SQL fuertes y únicas, y los investigadores aconsejan no exponer los servidores de bases de datos a Internet.

"En cambio, deben ser accesibles a máquinas específicas dentro de la organización a través de políticas de segmentación y acceso a listas blancas. Recomendamos habilitar el registro para monitorear y alertar sobre intentos de inicio de sesión sospechosos, inesperados o recurrentes", anotaron.

Para aquellos que no están seguros de si sus instalaciones se han visto comprometidas, los investigadores han proporcionado una lista de IoC y un script de detección que pueden usar para verificarlo.

“Si está infectado, recomendamos encarecidamente poner en cuarentena inmediatamente la máquina infectada y evitar que acceda a otros activos en la red. También es importante cambiar todas las contraseñas de la cuenta de usuario de MS SQL por contraseñas seguras, para evitar ser reinfectados por este u otros ataques de fuerza bruta", concluyeron.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación