Guardicore descubre una prolongada campaña de ataque contra servidores SQL

 

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Esta campaña, a la que ha bautizado como Vollgar por la criptomoneda Vollar, utiliza la fuerza bruta de las contraseñas para entrar en las máquinas víctimas, despliega múltiples puertas traseras y ejecuta numerosos módulos dañinos, como herramientas multifuncionales de acceso remoto (RAT) y criptomineros. Según la firma, las víctimas pertenecen principalmente a los sectores de sanidad, aeronáutica, educación superior y el de tecnología y comunicaciones. “Tener servidores MS-SQL expuestos a Internet con credenciales de acceso débiles no es la mejor de las ideas. Esto puede explicar cómo esta campaña ha conseguido infectar diariamente alrededor de 3.000 servidores de bases de datos”, dice en un comunicado.

Durante estos dos años de actividad, el flujo de ataques ha sido constante, exhaustivo, bien planificado y muy ruidoso. Un pico en el número de incidentes detectados en diciembre pasado nos llevó a vigilar de cerca la campaña y su impacto.

En general, los ataques Vollgar se lanzaron desde más de 120 direcciones IP, la gran mayoría de las cuales se encuentran ubicadas en China, pero también en India, Estados Unidos, Corea del Sur y Turquía, como países principales. Lo más probable es que se trate de máquinas comprometidas, destinadas a escanear e infectar a nuevas víctimas. Según el especialista, aunque algunos de estos ataques fueron de corta duración y responsables de apenas unos pocos incidentes, un par de las IP de origen permanecieron activas durante más de tres meses, atacando el GGSN (la Red Global de Sensores de Guardicore) docenas de veces.

Analizando los archivos de registro del atacante, pudo obtener información sobre las máquinas comprometidas. En cuanto al período de infección, el 60% de las máquinas infectadas permanecieron así sólo durante un corto periodo de tiempo. Sin embargo, casi el 20% de todos los servidores vulnerados permanecieron infectados por más de una semana e incluso más de dos semanas, lo que demuestraa lo exitoso que es el ataque al ocultar sus huellas y evitar mitigaciones como los antivirus y las herramientas Endpoint Detection and Response (EDR). Por otra parte, es muy probable que este tipo de productos ni siquiera se encontraran en los servidores.

Por otro lado, un 10% de las máquinas fueron reinfectadas por el malware, lo que sugiere que la eliminación del malware se hace a menudo de forma incompleta, sin una investigación a fondo de la causa de la infección.

La respuesta
La campaña Vollgar se dirige a las máquinas Windows que ejecutan servidores MS-SQL que están conectados a Internet. Para comprobar si una máquina Windows ha sido infectada, Guardicore Labs ofrece un script Powershell de código abierto para identificar marcas de Vollgar y los IOC (indicadores de compromiso).

Si una maquina está infectada, la firma recomienda ponerla inmediatamente en cuarentena y evitar que acceda a otros activos en la red. También es importante cambiar todas las contraseñas de la cuenta de usuario del MS-SQL por contraseñas fuertes, para evitar ser nuevamente infectado por este u otros ataques de fuerza bruta.