1. Alertas de Seguridad
  2. Servidores MSSQL en DB#JAMMER bajo ataque por Ransomware FreeWorld

Servidores MSSQL en DB#JAMMER bajo ataque por Ransomware FreeWorld

Fecha de publicación: Mar, 12/09/2023 - 18:22

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

El equipo de investigación de amenazas de Securonix ha identificado una campaña de ataque en la que los actores de amenazas apuntan a servicios de Microsoft SQL (MSSQL) expuestos usando ataques de fuerza bruta. La campaña, denominada DB#JAMMER, se caracteriza por el uso de una infraestructura y unas cargas maliciosas que incluyen memes, referencias a 4chan y mensajes provocativos. El objetivo final de los atacantes es entregar el ransomware FreeWorld, que cifra los archivos del servidor y exige un rescate en criptomonedas

Recursos afectados

 Los servidores que ejecutan servicios de MSSQL sin una adecuada protección y configuración son vulnerables a esta campaña de ataque. Según Securonix, se han observado más de 1000 intentos de ataque exitosos en los últimos meses, afectando a organizaciones de diversos sectores, como educación, salud, finanzas y gobierno a nivel mundial.

Mitigación

Securonix recomienda a los administradores de sistemas que apliquen las siguientes medidas para prevenir y mitigar esta campaña de ataque:

  • Deshabilitar o restringir el acceso remoto a los servicios de MSSQL.
  • Usar contraseñas seguras y complejas para las cuentas de MSSQL.
  • Aplicar los parches y actualizaciones de seguridad disponibles para MSSQL.
  • Implementar una solución de seguridad que pueda detectar y bloquear los ataques de fuerza bruta y las cargas maliciosas.
  • Realizar copias de seguridad periódicas de los datos críticos y almacenarlas en un lugar seguro.

Indicadores de compromiso

Securonix recomienda verificar la existencia de los siguientes archivos:

Nombre del archivo SHA 256
svr.exe 8937A510446ED36717BB8180E5E4665C0C5D5BC160046A31B28417C86FB1BA0F
AD.exe 9D576CD022301E7B0C07F8640BDEB55E76FA2EB38F23E4B9E49E2CDBA5F8422D
n.exe 867143A1C945E7006740422972F670055E83CC0A99B3FA71B14DEABABCA927FE
5000.exe 80BF2731A81C113432F061B397D70CAC72D907C39102513ABE0F2BAE079373E4
FreeWorld.exe 75975B0C890F804DAB19F68D7072F8C04C5FE5162D2A4199448FC0E1AD03690B
DC.exe C576F7F55C4C0304B290B15E70A638B037DF15C69577CD6263329C73416E490E
Everything.exe 4C83E46A29106AFBAF5279029D102B489D958781764289B61AB5B618A4307405
v.dll 0A2CFFFB353B1F14DD696F8E86EA453C49FA3EB35F16E87FF13ECDF875206897
e3.exe 74CC7B9F881CA76CA5B7F7D1760E069731C0E438837E66E78AEE0812122CB32D
2.exe 947AFAA9CD9C97CABD531541107D9C16885C18DF1AD56D97612DDBC628113AB5
1.exe 95A73B9FDA6A1669E6467DCF3E0D92F964EDE58789C65082E0B75ADF8D774D66
twix.exe A3D865789D2BAE26726B6169C4639161137AEF72044A1C01647C521F09DF2E16
sara.exe E93F3C72A0D605EF0D81E2421CCA19534147DBA0DDED2EE29048B7C2EB11B20A
d.dll CC54096FB8867FF6A4F5A5C7BB8CC795881375031EED2C93E815EC49DB6F4BFF

También revisar las siguientes consultas:

  • index = activity AND (rg_functionality = “Next Generation Firewall” OR rg_functionality = “Web Application Firewall” OR rg_functionality = “Web Proxy”) AND (destinationaddress = “45.148.122[.]63” or destinationaddress = “gelsd[.]com”)
  • index = activity AND rg_functionality = “Endpoint Management Systems” AND (customstring47 ENDS WITH “\CurrentControlSet\Control\Terminal Server\fDenyTSConnections” OR customstring47 ENDS WITH “\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\UserAuthentication”) AND customstring48 = “DWORD (0x00000000)”
  • index = activity AND rg_functionality = “Endpoint Management Systems” AND (deviceaction = “Process Create” OR deviceaction = “Process Create (rule: ProcessCreate)” OR deviceaction = “ProcessRollup2” OR deviceaction = “Procstart” OR deviceaction = “Process” OR deviceaction = “Trace Executed Process”) AND destinationprocessname ENDS WITH “reg.exe” AND resourcecustomfield1 CONTAINS ” add ” AND resourcecustomfield1 CONTAINS “\CurrentControlSet\Control\Terminal Server” AND (resourcecustomfield1 CONTAINS “fDenyTSConnections” OR resourcecustomfield1 CONTAINS “UserAuthentication”)
  • index = activity AND destinationport = “445” OR destinationport = “139”) AND (sourceaddress = “10.0.0.0/8” OR sourceaddress = “172.16.0.0/12” OR sourceaddress = “192.168.0.0/16” OR sourceaddress = “169.254.0.0/16”) AND (destinationaddress != “10.0.0.0/8” OR destinationaddress != “172.16.0.0/12” OR destinationaddress != “192.168.0.0/16” OR destinationaddress != “169.254.0.0/16” OR destinationaddress != “127.0.0.0/8”
  • index = activity AND rg_functionality = “Endpoint Management Systems” AND deviceaction = “Process Create” AND sourceprocessname ENDS WITH “sqlservr.exe” AND destinationprocessname ENDS WITH “cmd.exe”

Recomendaciones

Se recomienda estar alerta ante esta campaña de ataque y otras similares que pueden surgir en el futuro, ya que demuestran la creatividad y la persistencia de los actores de amenazas.  También se sugiere seguir las buenas prácticas para proteger los servidores MSSQL, como usar cifrado, autenticación multifactor, principio de mínimo privilegio y monitorización continua. Además, se aconseja no pagar el rescate en caso de ser víctima del ransomware FreeWorld, ya que no hay garantía de recuperar los datos cifrados y se fomenta la actividad criminal.

Referencias

Infección de SQLServer mediante DB#JAMMER y ransomware FreeWorld