top of page
  • Foto do escritorInternational IT

FreeWorld e Cobalt Strike: A Dupla Ameaça aos Servidores MS SQL

Atualizado: 14 de set.

Recentemente, um grupo de hackers realizou uma campanha chamada DB#JAMMER, na qual usaram ataques de força bruta para comprometer servidores MSSQL e implementar o Cobalt Strike e uma variante do ransomware Mimic chamada "FreeWorld." A descoberta foi realizada pela equipe de pesquisadores da Equinox e divulgada em um relatório.


VEJA TAMBÉM: O que é MITRE ATT&CK e como usar esse framework?


Detalhes do Ataque


Os hackers por trás da campanha DB#JAMMER iniciaram seu ataque usando técnicas de força bruta para adivinhar as credenciais dos servidores MS SQL. Embora não esteja claro se eles usaram combinações de nome de usuário e senha obtidas em vazamentos de outras bases de dados, essa abordagem é preocupante e destaca a importância de ter senhas fortes e exclusivas.


Uma vez dentro do servidor, os invasores realizaram uma série de ações maliciosas. Eles exploraram a opção de configuração "xp_cmdshell" do MS SQL, que permite que os usuários executem comandos shell no Windows, para executar comandos de reconhecimento e modificação do sistema. Isso incluiu a criação de novos usuários no sistema, ajustes nas configurações do registro do Windows e outras modificações para estabelecer persistência.


Além disso, os invasores configuraram um compartilhamento SMB remoto para transferir ferramentas e cargas maliciosas, como o agente de controle Cobalt Strike e o software de acesso remoto AnyDesk. Eles também usaram ferramentas como scanner de porta de rede e o utilitário Mimikatz para tentar mover lateralmente pela rede.


O ápice desse ataque foi a implantação do ransomware FreeWorld, uma variante do Mimic ransomware. Os invasores criptografaram os arquivos da vítima, adicionando a extensão ".FreeWorldEncryption" aos arquivos afetados, e deixaram um arquivo de resgate chamado "FreeWorld-Contact.txt" com instruções sobre como pagar o resgate.


Como se Proteger?


Diante dessa ameaça crescente, é fundamental tomar medidas proativas para proteger seus servidores MS SQL:

  • Senhas Fortes: Certifique-se de que suas senhas de acesso ao servidor MS SQL sejam exclusivas, complexas e não suscetíveis a ataques de força bruta. Considere o uso de autenticação de dois fatores (2FA) sempre que possível.

  • Restringir xp_cmdshell: Limite o uso da opção "xp_cmdshell" em seu servidor MS SQL para reduzir o risco de execução de comandos maliciosos.

  • Acesso Remoto Seguro: Evite expor diretamente seus servidores MS SQL à internet. Em vez disso, use VPNs (Redes Virtuais Privadas) para acesso remoto seguro.

  • Monitoramento Constante: Implemente monitoramento de segurança robusto, incluindo a vigilância de diretórios comuns usados para estágio de malware, como "C:\Windows\Temp."

  • Registros Detalhados: Ative registros detalhados em nível de processo, como Sysmon e logs do PowerShell, para detectar atividades suspeitas.

  • Patches e Atualizações: Mantenha seu servidor MS SQL atualizado com os patches de segurança mais recentes.

  • Treinamento de Funcionários: Eduque sua equipe sobre boas práticas de segurança cibernética e como reconhecer ameaças em potencial.


A campanha DB#JAMMER destaca a importância de proteger servidores MS SQL contra ataques cada vez mais sofisticados. Ao adotar medidas de segurança robustas, como senhas fortes, restrições de acesso e monitoramento constante, você pode fortalecer a segurança de seus sistemas e reduzir o risco de ser vítima de ataques cibernéticos prejudiciais. Esteja sempre vigilante e atualizado com as melhores práticas de segurança para proteger sua infraestrutura de TI.

 

Conte com a International IT e a Fortinet para manter sua defesa digital na vanguarda.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

40 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page