Gli attori delle minacce stanno sfruttando server Microsoft SQL (MS SQL) insicuri per distribuire Cobalt Strike e una variante di ransomware chiamata FreeWorld.
Dettagli dell’attacco
La società di cybersecurity Securonix, che ha denominato la campagna “DB#JAMMER”, ha evidenziato come questa si distingua per il modo in cui vengono utilizzati gli strumenti e l’infrastruttura. “Alcuni di questi strumenti includono software di enumerazione, payload RAT, software di sfruttamento e furto di credenziali e, infine, payload ransomware”, hanno dichiarato i ricercatori di sicurezza Den Iuzvyk, Tim Peck e Oleg Kolesnikov in un’analisi tecnica dell’attività. La variante di ransomware scelta sembra essere una nuova versione del ransomware Mimic chiamata FreeWorld.
L’accesso iniziale al sistema vittima viene ottenuto forzando brutalmente il server MS SQL, utilizzandolo per enumerare il database e sfruttando l’opzione di configurazione “xp_cmdshell” per eseguire comandi shell e condurre attività di ricognizione. La fase successiva prevede azioni per compromettere il firewall di sistema e stabilire una persistenza connettendosi a una condivisione SMB remota per trasferire file dal e verso il sistema vittima, nonché installare strumenti dannosi come Cobalt Strike. Questo, a sua volta, apre la strada per la distribuzione del software AnyDesk per distribuire infine il ransomware FreeWorld, ma non prima di effettuare una fase di movimento laterale. Si dice anche che gli aggressori sconosciuti abbiano tentato senza successo di stabilire una persistenza RDP tramite Ngrok.
“Il successo iniziale dell’attacco è stato il risultato di un attacco brute force contro un server MS SQL”, hanno affermato i ricercatori. “È importante sottolineare l’importanza di password forti, specialmente su servizi esposti pubblicamente.”
Contesto più ampio
Il 2023 ha assistito a un aumento record degli attacchi ransomware, nonostante una pausa nel 2022. Tuttavia, la percentuale di incidenti che ha portato la vittima a pagare è scesa a un minimo storico del 34%, come condiviso da Coveware nel luglio 2023. L’importo medio del riscatto pagato, d’altra parte, ha raggiunto $740,144, con un aumento del 126% rispetto al primo trimestre del 2023.