Los expertos en ciberseguridad han detectado una nueva campaña de piratería que aprovecha los servidores MS-SQL mal protegidos para entregar el ransomware Trigona. (se abre en una pestaña nueva).
Investigadores de la firma surcoreana AhnLab observaron que los actores de la amenaza buscaban servidores Microsoft SQL expuestos a Internet y luego intentaban acceder a ellos mediante ataques de fuerza bruta o de diccionario. Estos ataques funcionan si los servidores tienen contraseñas simples y fáciles de adivinar, y al automatizar el proceso de inicio de sesión, los piratas informáticos pueden violar numerosos servidores con facilidad.
Una vez que obtienen acceso al punto final, los atacantes primero instalarán una pieza de malware que los investigadores llamaron CLR Shell. Este malware recopila información del sistema, cambia la configuración de la cuenta comprometida y aumenta los privilegios a LocalSystem a través de una vulnerabilidad en el Servicio de inicio de sesión secundario de Windows.
Eliminación de copias de seguridad
«CLR Shell es un tipo de malware de ensamblaje CLR que recibe comandos de los actores de amenazas y realiza comportamientos maliciosos, de manera similar a los WebShells de los servidores web», dijeron los investigadores.
El siguiente paso es usar el cuentagotas de malware svcservice.exe para implementar el ransomware Trigona. En este paso, todos los archivos en el dispositivo se cifran y se deja una nota de rescate, instruyendo a las víctimas sobre cómo comunicarse con los atacantes y negociar la liberación de una clave de descifrado. Los investigadores también dijeron que Trigona deshabilita la recuperación del sistema y elimina las instantáneas de volumen de Windows para evitar que las víctimas recuperen sus sistemas a través de una copia de seguridad.
Si bien las empresas pueden sentirse tentadas a pagar el rescate, pensando que sería la forma más sencilla y económica de abordar el problema, el consenso general es que deben abstenerse de ceder ante las demandas delictivas. Según datos recientes de Rubrik Zero Labs, de todas las organizaciones que sufrieron un ataque de ransomware y pagaron por el descifrador, solo el 16 % logró recuperar todos sus datos.
Pagar el rescate también financia futuras actividades delictivas, que es otra razón más para no ceder a las demandas de los piratas informáticos.
Vía: BleepingComputer (se abre en una pestaña nueva)