Un grupo de atacantes compromete servidores MSSQL para implementar el 'ransomware' FreeWorld
El grupo DB#JAMMER también despliega un agente de comando y control Cobalt Strike.
Los servidores Microsoft SQl (MSSQL) mal protegidos se han convertido en uno de los objetivos favoritos de muchos grupos de atacantes, sobre todo de las bandas de ransomware. En una reciente campaña llamada DB#JAMMER, los ciberdelincuentes utilizaron métodos de fuerza bruta para comprometer estos servidores e implementar Cobalt Strike y una variante del ransomware MIMIC llamada FreeWorld. “Una de las cosas que hace que la campaña destaque es cómo se utilizan la infraestructura de herramientas y las cargas útiles del atacante”, informan los investigadores de Securonix en un estudio. “Algunos de estos servicios incluyen software de enumeración, cargas útiles RAT, software de explotación y robo de credenciales y, finalmente, cargas útiles de ransomware”.
Los ‘malos’ usaron técnicas de fuerza bruta para adivinar las contraseñas de los servidores MSSQL objetivo, pro no está claro si se involucraron intentos de rociado de credenciales o basados en diccionarios. Este último generalmente introduce combinaciones de nombre de usuario y contraseñas obtenidas de otras fugas de bases de datos. Tras el acceso inicial, los atacantes investigaron la base de datos enumerando todos los usuarios con acceso a ella y verificaron si una función llamada xp_cmdshell estaba habilitada. Esta instrucción permite ejecutar comandos de Shell en Windows y devolver el resultado como texto. Los ciberdelincuentes aprovecharon xp_cmdshell ampliamente; primero para recopilar información sobre el sistema y el entorno de red invocando herramientas de Windows como wmic.exe, net.exe e ipconfig.exe, para luego realizar modificaciones en las cuentas del sistema operativo y el registro del sistema.
“Se crearon tres nuevos usuarios en el host víctima que incluyen Windows, adminv$ y mediaadmin$. Cada usuario se sumó a los de escritorio remoto y administradores de grupo. Curiosamente, los atacantes intentaron ejecutar una gran línea única, lo que crearía los usuarios y modificaría la pertenencia al grupo. Sin embargo, se ejecutaron varias variaciones del comando para dar cuenta de grupos en diferentes idiomas”.
Se hicieron más modificaciones a los nuevos usuarios para que sus contraseñas y sesiones iniciadas nunca expiraran. Los cambios en el registro también fueron extensos e incluyeron habilitar el servicio de Protocolo de escritorio remoto, deshabilitar las restricciones de Control de acceso de usuarios y ocultar a los remotos registrados de la pantalla de inicio de sesión local.
El objetivo de todo esto era proporcionar a los atacantes la capacidad de controlar remotamente el sistema a través de un método que es más confiable y más difícil de detectar que los comandos de xp_cmdshell de base de datos. Sin embargo, un problema que encontraron fue que las conexiones RDP entrantes estaban bloqueadas por el firewall de red, por lo que intentaron implementar un proxy inverso y una solución de túnel llamada Ngrok.
Las cargas maliciosas incluyen el agente de comando y control Cobalt Strike
Los atacantes también configuraron un recurso compartido SMB remoto en un servidor bajo su control para montar localmente un directorio que contenía muchas de sus herramientas y cargas útiles. Esto incluía un agente de comando y control de Cobalt Strike guardado como srv.exe y una versión del software de escritorio remoto AnyDesk.
También se desplegaron un escáner de puertos de red y las herramientas de volcado de credenciales de Mimikatz para intentar el movimiento lateral a otros sistemas de la red. Finalmente, cuando los atacantes consideraron que el sistema estaba totalmente bajo su control, desplegaron un archivo llamado 5000.exe que era un gotero para un programa de ransomware que los atacantes llaman FreeWorld, pero en realidad es una variante más nueva del conocido ransomware Mimic.
Tanto Mimic como FreeWorld usan una aplicación adjunta llamada Everything.exe que se usa para localizar archivos para cifrar. Los archivos cifrados se almacenan con un archivo . FreeWorldEncryption y el ransomware suelta un archivo con instrucciones sobre cómo pagar el rescate llamado FreeWorld-Contact.txt.
