Серверы Microsoft SQL взломаны для распространения программ-вымогателей
вычисления techradar.com Новости

Серверы Microsoft SQL взломаны для распространения программ-вымогателей

20 апреля 2023 г.

Эксперты по кибербезопасности обнаружили новую хакерскую кампанию, использующую слабо защищенные серверы MS-SQL для доставки Trigona программа-вымогатель.

Исследователи из южнокорейской фирмы AhnLab наблюдали, как злоумышленники сканировали серверы Microsoft SQL, открытые в Интернете, а затем пытались получить к ним доступ либо с помощью грубой силы, либо атак по словарю. Эти атаки работают, если на серверах установлены простые, легко угадываемые пароли, а автоматизировав процесс входа в систему, хакеры могут легко взламывать множество серверов.

Получив доступ к конечной точке, злоумышленники сначала установят часть вредоносного ПО, которое исследователи назвали CLR Shell. Это вредоносное ПО собирает системную информацию, изменяет конфигурацию скомпрометированной учетной записи и повышает привилегии до LocalSystem через уязвимость в службе вторичного входа в систему Windows.

Удаление резервных копий

«Оболочка CLR – это тип вредоносного ПО сборки CLR, которое получает команды от злоумышленников и выполняет злонамеренные действия, аналогичные WebShells веб-серверов», – говорят исследователи.

Следующий шаг – использовать дроппер вредоносного ПО svcservice.exe для развертывания программы-вымогателя Trigona. На этом этапе все файлы на устройстве шифруются, и остается записка о выкупе, инструктирующая жертв о том, как связаться с злоумышленниками и договориться о выпуске ключа дешифрования. Исследователи также заявили, что Trigona отключает восстановление системы и удаляет все теневые копии тома Windows, чтобы жертвы не могли восстановить свои системы с помощью резервной копии.

Подробнее

> Многие директора по информационной безопасности тонут в долгах по ценным бумагам<сильный>

> Взрывной рост цифровых удостоверений и рост долга по кибербезопасности

> Это лучшие средства для удаления вредоносных программ. инструменты

Хотя у компаний может возникнуть соблазн заплатить выкуп, полагая, что это будет самый простой и дешевый способ решить проблему, все согласны с тем, что им следует воздерживаться от уступок криминальным требованиям. Недавние данные от Rubrik Zero Labs показали, что из всех организаций, которые пострадали от атаки программы-вымогателя и заплатили за дешифратор, только 16% фактически смогли восстановить все свои данные.

Выплата выкупа также финансирует будущих преступников. активности, что является еще одной причиной не поддаваться требованиям хакеров.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE