FreeWorld e Cobalt Strike: A Dupla Ameaça aos Servidores MS SQL

Recentemente, um grupo de hackers realizou uma campanha chamada DB#JAMMER, na qual usaram ataques de força bruta para comprometer servidores MSSQL e implementar o Cobalt Strike e uma variante do ransomware Mimic chamada "FreeWorld." A descoberta foi realizada pela equipe de pesquisadores da Equinox e divulgada em um relatório.

VEJA TAMBÉM: O que é MITRE ATT&CK e como usar esse framework?

Detalhes do Ataque

Os hackers por trás da campanha DB#JAMMER iniciaram seu ataque usando técnicas de força bruta para adivinhar as credenciais dos servidores MS SQL. Embora não esteja claro se eles usaram combinações de nome de usuário e senha obtidas em vazamentos de outras bases de dados, essa abordagem é preocupante e destaca a importância de ter senhas fortes e exclusivas.

Uma vez dentro do servidor, os invasores realizaram uma série de ações maliciosas. Eles exploraram a opção de configuração "xp_cmdshell" do MS SQL, que permite que os usuários executem comandos shell no Windows, para executar comandos de reconhecimento e modificação do sistema. Isso incluiu a criação de novos usuários no sistema, ajustes nas configurações do registro do Windows e outras modificações para estabelecer persistência.

Além disso, os invasores configuraram um compartilhamento SMB remoto para transferir ferramentas e cargas maliciosas, como o agente de controle Cobalt Strike e o software de acesso remoto AnyDesk. Eles também usaram ferramentas como scanner de porta de rede e o utilitário Mimikatz para tentar mover lateralmente pela rede.

O ápice desse ataque foi a implantação do ransomware FreeWorld, uma variante do Mimic ransomware. Os invasores criptografaram os arquivos da vítima, adicionando a extensão ".FreeWorldEncryption" aos arquivos afetados, e deixaram um arquivo de resgate chamado "FreeWorld-Contact.txt" com instruções sobre como pagar o resgate.

Como se Proteger?

Diante dessa ameaça crescente, é fundamental tomar medidas proativas para proteger seus servidores MS SQL:

• Senhas Fortes: Certifique-se de que suas senhas de acesso ao servidor MS SQL sejam exclusivas, complexas e não suscetíveis a ataques de força bruta. Considere o uso de autenticação de dois fatores (2FA) sempre que possível.

• Restringir xp_cmdshell: Limite o uso da opção "xp_cmdshell" em seu servidor MS SQL para reduzir o risco de execução de comandos maliciosos.

• Acesso Remoto Seguro: Evite expor diretamente seus servidores MS SQL à internet. Em vez disso, use VPNs (Redes Virtuais Privadas) para acesso remoto seguro.

• Monitoramento Constante: Implemente monitoramento de segurança robusto, incluindo a vigilância de diretórios comuns usados para estágio de malware, como "C:\Windows\Temp."

• Registros Detalhados: Ative registros detalhados em nível de processo, como Sysmon e logs do PowerShell, para detectar atividades suspeitas.

• Patches e Atualizações: Mantenha seu servidor MS SQL atualizado com os patches de segurança mais recentes.

• Treinamento de Funcionários: Eduque sua equipe sobre boas práticas de segurança cibernética e como reconhecer ameaças em potencial.

A campanha DB#JAMMER destaca a importância de proteger servidores MS SQL contra ataques cada vez mais sofisticados. Ao adotar medidas de segurança robustas, como senhas fortes, restrições de acesso e monitoramento constante, você pode fortalecer a segurança de seus sistemas e reduzir o risco de ser vítima de ataques cibernéticos prejudiciais. Esteja sempre vigilante e atualizado com as melhores práticas de segurança para proteger sua infraestrutura de TI.

Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!

Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!