Bancos de dados MSSQL sob ataque do Ransomware FreeWorld

Nos últimos tempos, profissionais de segurança do mundo todo têm testemunhado um aumento preocupante de ataques cibernéticos direcionados a servidores MSSQL (Microsoft SQL). Um desses ataques notáveis foi denominado DB#JAMMER, onde criminosos cibernéticos exploraram servidores MSSQL desprotegidos para disseminar o ransomware FreeWorld. Este artigo explora o funcionamento desses ataques e destaca a importância crítica da gestão de vulnerabilidades para mitigar esse risco crescente.

Detalhes do Ataque

Na campanha DB#JAMMER, os atacantes usaram ataques de força bruta para comprometer servidores MSSQL expostos. Uma vez dentro, exploraram a função xp_cmdshell habilitada no servidor para executar comandos shell, realizar reconhecimento e estabelecer persistência no host. A sofisticação desse ataque é notável devido à variedade de ferramentas e payloads utilizados, que incluem software de enumeração, payloads de RAT (Remote Access Trojan), exploração e roubo de credenciais e, por fim, payloads de ransomware, com destaque para o ransomware FreeWorld.

O ataque seguiu várias etapas essenciais:

Acesso Inicial: Os invasores obtiveram acesso ao servidor MSSQL por meio de ataques de força bruta, comprometendo as credenciais de login. Uma vez autenticados, eles rapidamente começaram a enumerar o banco de dados.

Enumeração e Reconhecimento do Sistema: Com acesso ao servidor, os invasores exploraram a função xp_cmdshell para executar comandos de shell no sistema, o que normalmente não deve ser habilitado, a menos que seja estritamente necessário. Eles conduziram uma enumeração do sistema usando comandos como wmic.exe, net.exe e ipconfig.exe.

Comprometimento da Defesa: Os atacantes executaram uma série de comandos no host, incluindo criação e modificação de usuários, alterações no registro e desativação de várias defesas do sistema, como firewall e autenticação RDP.

Estabelecimento de Persistência: Para manter o controle sobre o sistema, os invasores conectaram o host a um compartilhamento SMB remoto, o que lhes permitiu transferir arquivos e instalar ferramentas maliciosas, incluindo o Cobalt Strike, um payload de comando e controle.

Ransomware FreeWorld: Finalmente, os atacantes implantaram o ransomware FreeWorld no host comprometido, que criptografou os arquivos do sistema da vítima e gerou uma nota de resgate com instruções para pagamento.

Veja abaixo algumas medidas que podem ajudar a mitigar os riscos associados a ataques como o DB#JAMMER:

Gestão de Vulnerabilidades: Ter e manter um processo de gestão contínua de vulnerabilidades que identifique sistemas desatualizados, realize avaliações regulares de brechas com grande potencial de dano ao negócio, dará uma boa capacidade de prevenção

Senhas Fortes: A utilização de senhas fortes é fundamental. Certifique-se de que todas as credenciais de login sejam complexas ou use estratégias sem senha (passwordless).

Desabilitar xp_cmdshell: A função xp_cmdshell deve ser desabilitada, a menos que seja absolutamente necessária para as operações do servidor MSSQL.

Qualquer recurso não usado deve ser desabilitado.

Acesso Controlado: Restrinja o acesso direto a serviços expostos à internet. Use uma VPN ou métodos seguros de acesso remoto.

Monitoramento: Implemente monitoramento avançado do sistema, como Sysmon e logs do PowerShell, para detecção precoce de atividades suspeitas.

Firewall Ativo: Mantenha um firewall ativo e bem configurado para proteger seu ambiente de rede.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui