Un gruppo di hacker finanziariamente motivati di origine turca sta prendendo di mira i server Microsoft SQL (MSSQL) in tutto il mondo per criptare i file delle vittime con il ransomware Mimic (N3ww4v3).

Questi attacchi in corso, tracciati come RE#TURGENCE, sono stati diretti verso obiettivi nell’Unione Europea, negli Stati Uniti e in America Latina. Il team di ricerca sulle minacce di Securonix, che ha individuato la campagna, ha rilevato che gli attacchi si concludono in due modi: vendendo “l’accesso” all’host compromesso o con la consegna finale del ransomware.

Compromissione dei Server MSSQL

Gli attori della minaccia hanno compromesso i server di database MSSQL esposti online tramite attacchi brute force. Successivamente, hanno utilizzato la procedura xp_cmdshell memorizzata nel sistema, che permette di avviare una shell dei comandi di Windows con gli stessi diritti dell’account del servizio SQL Server. Questa procedura è spesso disabilitata per default a causa del suo frequente abuso da parte di attori malintenzionati.

Distribuzione del Ransomware Mimic

In seguito, gli attaccanti hanno distribuito un payload di Cobalt Strike fortemente oscurato utilizzando una sequenza di script PowerShell e tecniche di riflessione in memoria, con l’obiettivo finale di iniettarlo nel processo nativo di Windows SndVol.exe. Hanno anche scaricato e lanciato l’applicazione di desktop remoto AnyDesk come servizio e poi iniziato a raccogliere credenziali in chiaro utilizzando Mimikatz.

Dopo aver eseguito la scansione della rete locale e del dominio Windows utilizzando l’utilità Advanced Port Scanner, hanno hackerato altri dispositivi sulla rete e, utilizzando le credenziali rubate in precedenza, hanno compromesso il controller di dominio.

Conseguenze e Implicazioni

Questi attacchi evidenziano la crescente sofisticatezza e l’audacia degli attori delle minacce nel mirare a infrastrutture critiche come i server MSSQL. La capacità di questi hacker di bypassare le misure di sicurezza e distribuire ransomware su vasta scala, rappresenta una seria minaccia per le organizzazioni di tutto il mondo.

 

https://www.matricedigitale.it/notizie/ransomware-mimic-sql/

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: