FreeWorld e Cobalt Strike: A Dupla Ameaça aos Servidores MS SQL
Atualizado: 14 de set.
Recentemente, um grupo de hackers realizou uma campanha chamada DB#JAMMER, na qual usaram ataques de força bruta para comprometer servidores MSSQL e implementar o Cobalt Strike e uma variante do ransomware Mimic chamada "FreeWorld." A descoberta foi realizada pela equipe de pesquisadores da Equinox e divulgada em um relatório.
VEJA TAMBÉM: O que é MITRE ATT&CK e como usar esse framework?
Detalhes do Ataque
Os hackers por trás da campanha DB#JAMMER iniciaram seu ataque usando técnicas de força bruta para adivinhar as credenciais dos servidores MS SQL. Embora não esteja claro se eles usaram combinações de nome de usuário e senha obtidas em vazamentos de outras bases de dados, essa abordagem é preocupante e destaca a importância de ter senhas fortes e exclusivas.
Uma vez dentro do servidor, os invasores realizaram uma série de ações maliciosas. Eles exploraram a opção de configuração "xp_cmdshell" do MS SQL, que permite que os usuários executem comandos shell no Windows, para executar comandos de reconhecimento e modificação do sistema. Isso incluiu a criação de novos usuários no sistema, ajustes nas configurações do registro do Windows e outras modificações para estabelecer persistência.
Além disso, os invasores configuraram um compartilhamento SMB remoto para transferir ferramentas e cargas maliciosas, como o agente de controle Cobalt Strike e o software de acesso remoto AnyDesk. Eles também usaram ferramentas como scanner de porta de rede e o utilitário Mimikatz para tentar mover lateralmente pela rede.
O ápice desse ataque foi a implantação do ransomware FreeWorld, uma variante do Mimic ransomware. Os invasores criptografaram os arquivos da vítima, adicionando a extensão ".FreeWorldEncryption" aos arquivos afetados, e deixaram um arquivo de resgate chamado "FreeWorld-Contact.txt" com instruções sobre como pagar o resgate.
Como se Proteger?
Diante dessa ameaça crescente, é fundamental tomar medidas proativas para proteger seus servidores MS SQL:
Senhas Fortes: Certifique-se de que suas senhas de acesso ao servidor MS SQL sejam exclusivas, complexas e não suscetíveis a ataques de força bruta. Considere o uso de autenticação de dois fatores (2FA) sempre que possível.
Restringir xp_cmdshell: Limite o uso da opção "xp_cmdshell" em seu servidor MS SQL para reduzir o risco de execução de comandos maliciosos.
Acesso Remoto Seguro: Evite expor diretamente seus servidores MS SQL à internet. Em vez disso, use VPNs (Redes Virtuais Privadas) para acesso remoto seguro.
Monitoramento Constante: Implemente monitoramento de segurança robusto, incluindo a vigilância de diretórios comuns usados para estágio de malware, como "C:\Windows\Temp."
Registros Detalhados: Ative registros detalhados em nível de processo, como Sysmon e logs do PowerShell, para detectar atividades suspeitas.
Patches e Atualizações: Mantenha seu servidor MS SQL atualizado com os patches de segurança mais recentes.
Treinamento de Funcionários: Eduque sua equipe sobre boas práticas de segurança cibernética e como reconhecer ameaças em potencial.
A campanha DB#JAMMER destaca a importância de proteger servidores MS SQL contra ataques cada vez mais sofisticados. Ao adotar medidas de segurança robustas, como senhas fortes, restrições de acesso e monitoramento constante, você pode fortalecer a segurança de seus sistemas e reduzir o risco de ser vítima de ataques cibernéticos prejudiciais. Esteja sempre vigilante e atualizado com as melhores práticas de segurança para proteger sua infraestrutura de TI.
Conte com a International IT e a Fortinet para manter sua defesa digital na vanguarda.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
