I ricercatori di Guardicore Labs hanno recentemente scoperto una campagna di attacchi che mira a infettare i computer Windows che eseguono MS-SQL server. La campagna soprannominata Vollgar – dalla criptovaluta di Vollar – risale a maggio 2018 e si diffonde attraverso attacchi di brute force nei database Microsoft SQL per istallare backdoor e crypto-miner: utilizza attacchi di brute force della password per violare i computer delle vittime, implementa più backdoor ed esegue numerosi moduli dannosi, come strumenti di accesso remoto multifunzione (RAT) e cryptominer.
Vollgar utilizza una tecnica di attacco “mordi e fuggi”: i server vengono infatti infettati per un periodo limitato di tempo (circa due giorni); in alcuni casi invece si prolunga fino a periodi di alcune settimane. Una parte di questi (circa il 10%) vengono infettati a più riprese.
“Avere server MS-SQL esposti a Internet con credenziali deboli non è la migliore delle pratiche. Questo potrebbe spiegare come questa campagna è riuscita a infettare quotidianamente circa 3k database. Le vittime appartengono a vari settori industriali, tra cui sanità, aviazione, informatica e telecomunicazioni e istruzione superiore”.
Nel complesso, gli attacchi di Vollgar hanno avuto origine in oltre 120 indirizzi IP, macchine probabilmente compromesse, riproposte per scansionare e infettare nuove vittime. L’infrastruttura di Vollgar si basa su nomi di dominio e società di shell abusati. L’aggressore utilizza questa infrastruttura per ospitare payload dannosi e gestire le basi di comando e controllo della campagna.
I dettagli del report pubblicato da Guardicore sono disponibili al seguente link
https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
