Ataques de ransomware Mimic golpean servidores Microsoft SQL globalmente

Un grupo de hackers turcos ha lanzado una serie de ataques cibernéticos dirigidos a servidores Microsoft SQL (MSSQL) en todo el mundo, desencadenando el Ransomware Mimic (N3ww4v3) en una campaña bautizada como RE#TURGENCE. Esos ataques, motivados por fines financieros, han impactado a objetivos en la Unión Europea, Estados Unidos y América Latina.

La campaña, que ha estado en curso, se caracteriza por comprometer servidores MSSQL con configuraciones de seguridad inseguras, utilizando ataques de fuerza bruta para acceder a bases de datos expuestas en línea Los hackers han empleado el procedimiento xp_cmdshell, deshabilitado por defecto debido a su riesgo de elevación de privilegios, para generar un Shell de comandos de Windows con los mismos derechos de seguridad que la cuenta de servicio de SQL Server.

En etapas posteriores, los atacantes desplegaron una carga útil Cobalt Strike altamente ofuscada mediante scripts de PowerShell y técnicas de reflexión en memoria. Además, utilizaron la aplicación de escritorio remoto AnyDesk como servicio para recopilar credenciales de texto sin cifrar extraídas con Mmikatz.

El proceso continuo con la exploración de la red local y el dominio de Windows, el hackeo de otros dispositivos de la red y la comprometida seguridad del controlador de dominio mediante credenciales previamente robadas. La fase final implicó el despliegue del ransomware Mimic a través de archivos autoextraíbles mediante AnyDesk, utilizando la aplicación legítima Everything para identificar y cifrar archivos, una táctica observada por primera vez en enero de 2023.

El ransomware una vez completado el proceso de cifrado, ejecutó un aviso de cifrado y pago que se almacenó en la unidad C: \ de la victima como ‘-IMPORTANT-NOTICE-.txt’. Además, el correo electrónico proporcionado en la nota de rescate (“danteklause[@]gmail.com) vincula a este grupo de amenazas con ataques anteriores de ransomeware Phobos, que apareció por primera vez en 2018.

Este no es el primer ataque dirigido a servidores MSSQL que se ha registrado; ya se expuso otra campaña el año pasado que también utilizó el vector de ataque de acceso inicial por fuerza bruta, implementando el ransomware FreeWorld, otro nombre para el ransomware Mimic.

Las autoridades y empresas de seguridad cibernética están alertando sobre la importancia de fortalecer la seguridad de los servidores MSSQL y de adoptar prácticas de seguridad cibernética más solidas para prevenir y mitigar estos tipos de ataques.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.