Los actores de amenazas están explotando servidores Microsoft SQL (MS SQL) mal protegidos para entregar Cobalt Strike y una cepa de ransomware llamada FreeWorld.
La firma de ciberseguridad Securonix, que ha apodado la campaña DB#JAMMER, dijo que se destaca por la forma en que se emplea el conjunto de herramientas y la infraestructura.
“Algunas de estas herramientas incluyen software de enumeración, cargas útiles RAT, software de explotación y robo de credenciales, y finalmente cargas útiles de ransomware”, dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un desglose técnico de la actividad.
“La carga útil de ransomware de elección parece ser una variante más nueva del ransomware Mimic llamada FreeWorld”.
El acceso inicial al host víctima se logra realizando un brute-forcing hacia el servidor MS SQL, usándolo para enumerar la base de datos y aprovechando la opción de configuración xp_cmdshell para ejecutar comandos de shell y realizar reconocimiento.
La siguiente etapa implica tomar medidas para deteriorar el firewall del sistema y establecer la persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema víctima, así como instalar herramientas maliciosas como Cobalt Strike.
Esto, a su vez, allana el camino para que la distribución del software AnyDesk finalmente impulse el ransomware FreeWorld, pero no antes de llevar a cabo un paso de movimiento lateral. También se dice que los atacantes desconocidos intentaron sin éxito establecer la persistencia RDP a través de Ngrok.
“El ataque inicialmente tuvo éxito como resultado de un ataque de fuerza bruta contra un servidor MS SQL”, dijeron los investigadores. “Es importante enfatizar la importancia de las contraseñas seguras, especialmente en los servicios expuestos públicamente”.
La revelación se produce cuando los operadores del ransomware Rhysida han reclamado 41 víctimas, con más de la mitad de ellas ubicadas en Europa.
Rhysida es una de las cepas de ransomware nacientes que surgieron en mayo de 2023, adoptando la táctica cada vez más popular de cifrar y exfiltrar datos confidenciales de las organizaciones y amenazar con filtrar la información si las víctimas se niegan a pagar.
También sigue el lanzamiento de un descifrador gratuito para una cepa de ransomware llamada Key Group aprovechando múltiples errores criptográficos en el programa. Sin embargo, el script de Python solo funciona en muestras compiladas después del 3 de agosto de 2023.
“El ransomware Key Group utiliza una clave estática codificada en base64 N0dQM0I1JCM = para cifrar los datos de las víctimas”, dijo la compañía holandesa de ciberseguridad EclecticIQ en un informe publicado el jueves.
“El actor de amenazas intentó aumentar la aleatoriedad de los datos cifrados mediante el uso de una técnica criptográfica llamada salado. La sal era estática y se usaba para cada proceso de cifrado, lo que plantea una falla significativa en la rutina de cifrado”.
2023 ha sido testigo de un aumento récord en los ataques de ransomware después de una pausa en 2022, incluso cuando el porcentaje de incidentes que resultaron en el pago de la víctima ha caído a un mínimo histórico del 34%, según las estadísticas compartidas por Coveware en julio de 2023.
El monto promedio del rescate pagado, por otro lado, ha alcanzado los $ 740,144, un 126% más que en el primer trimestre de 1.
Las fluctuaciones en las tasas de monetización han sido acompañadas por actores de amenazas de ransomware que continúan evolucionando su oficio de extorsión, incluido el intercambio de detalles de sus técnicas de ataque para mostrar por qué las víctimas no son elegibles para un pago de seguro cibernético.
“Snatch afirma que dará a conocer detalles de cómo los ataques contra víctimas que no pagan tuvieron éxito con la esperanza de que las aseguradoras decidan que los incidentes no deben ser cubiertos por el ransomware de seguros”, dijo el investigador de seguridad de Emsisoft, Brett Callow, en una publicación compartida en X (anteriormente Twitter) el mes pasado.
