top of page
  • Foto do escritorInternational IT

FreeWorld e Cobalt Strike: A Dupla Ameaça aos Servidores MS SQL

Atualizado: 28 de nov. de 2023

Recentemente, um grupo de hackers realizou uma campanha chamada DB#JAMMER, na qual usaram ataques de força bruta para comprometer servidores MSSQL e implementar o Cobalt Strike e uma variante do ransomware Mimic chamada "FreeWorld." A descoberta foi realizada pela equipe de pesquisadores da Equinox e divulgada em um relatório.



Detalhes do Ataque


Os hackers por trás da campanha DB#JAMMER iniciaram seu ataque usando técnicas de força bruta para adivinhar as credenciais dos servidores MS SQL. Embora não esteja claro se eles usaram combinações de nome de usuário e senha obtidas em vazamentos de outras bases de dados, essa abordagem é preocupante e destaca a importância de ter senhas fortes e exclusivas.


Uma vez dentro do servidor, os invasores realizaram uma série de ações maliciosas. Eles exploraram a opção de configuração "xp_cmdshell" do MS SQL, que permite que os usuários executem comandos shell no Windows, para executar comandos de reconhecimento e modificação do sistema. Isso incluiu a criação de novos usuários no sistema, ajustes nas configurações do registro do Windows e outras modificações para estabelecer persistência.


Além disso, os invasores configuraram um compartilhamento SMB remoto para transferir ferramentas e cargas maliciosas, como o agente de controle Cobalt Strike e o software de acesso remoto AnyDesk. Eles também usaram ferramentas como scanner de porta de rede e o utilitário Mimikatz para tentar mover lateralmente pela rede.


O ápice desse ataque foi a implantação do ransomware FreeWorld, uma variante do Mimic ransomware. Os invasores criptografaram os arquivos da vítima, adicionando a extensão ".FreeWorldEncryption" aos arquivos afetados, e deixaram um arquivo de resgate chamado "FreeWorld-Contact.txt" com instruções sobre como pagar o resgate.


Como se Proteger?


Diante dessa ameaça crescente, é fundamental tomar medidas proativas para proteger seus servidores MS SQL:

  • Senhas Fortes: Certifique-se de que suas senhas de acesso ao servidor MS SQL sejam exclusivas, complexas e não suscetíveis a ataques de força bruta. Considere o uso de autenticação de dois fatores (2FA) sempre que possível.

  • Restringir xp_cmdshell: Limite o uso da opção "xp_cmdshell" em seu servidor MS SQL para reduzir o risco de execução de comandos maliciosos.

  • Acesso Remoto Seguro: Evite expor diretamente seus servidores MS SQL à internet. Em vez disso, use VPNs (Redes Virtuais Privadas) para acesso remoto seguro.

  • Monitoramento Constante: Implemente monitoramento de segurança robusto, incluindo a vigilância de diretórios comuns usados para estágio de malware, como "C:\Windows\Temp."

  • Registros Detalhados: Ative registros detalhados em nível de processo, como Sysmon e logs do PowerShell, para detectar atividades suspeitas.

  • Patches e Atualizações: Mantenha seu servidor MS SQL atualizado com os patches de segurança mais recentes.

  • Treinamento de Funcionários: Eduque sua equipe sobre boas práticas de segurança cibernética e como reconhecer ameaças em potencial.


A campanha DB#JAMMER destaca a importância de proteger servidores MS SQL contra ataques cada vez mais sofisticados. Ao adotar medidas de segurança robustas, como senhas fortes, restrições de acesso e monitoramento constante, você pode fortalecer a segurança de seus sistemas e reduzir o risco de ser vítima de ataques cibernéticos prejudiciais. Esteja sempre vigilante e atualizado com as melhores práticas de segurança para proteger sua infraestrutura de TI.


Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!



Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page