Campanha Vollgar ataca servidores MS-SQL

Guardicore explica como ciberameaça se propaga e destaca melhores práticas para evitar o golpe

Compartilhar:

O Guardicore Labs descobriu e vem mantendo em seu radar há quase dois anos a campanha Vollgar de violação de servidores MS-SQL expostos à Internet, infectando-os com ferramentas de acesso remoto e criptomineradores. Os países mais visados são China, Índia, Estados Unidos, Coreia do Sul e Turquia. E as vítimas desse ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.

 

Um pico no número de incidentes em dezembro do ano passado levou o Guardicore Labs a acompanhar de perto a campanha – originada na China – e seu impacto, constatando cerca de três mil servidores de bancos de dados infectados diariamente.

 

Desde maio de 2018, a campanha usa força bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores. A Guardicore chamou esta campanha Vollgar, que deriva da combinação do nome criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar.

 

Ophir Harpaz, que assina o relatório da Guardicore sobre o Vollgar, comenta que “manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados”.

 

Os ataques utilizaram mais de 120 endereços IP, a grande maioria dos quais na China – provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período de tempo. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.

 

Isso mostra o sucesso do ataque, capaz de ocultar seu rastro e contornar mitigações como antivírus e EDR (Endpoint Detection and Response). Ophir Harpaz observa que embora existam apenas cerca de meio milhão de servidores MS-SQL, há um grande número de ataques dirigidos a eles. Esses servidores de banco de dados são atraentes para os invasores principalmente pelos dados que contêm, relacionados a informações pessoais, como nomes de usuário, senhas, números de cartão de crédito, etc.

 

Algumas medidas para evitar essas invasões são:

 

1- Não expor servidores de banco de dados à Internet. Eles precisam estar acessíveis apenas em máquinas da organização protegidas por políticas de segmentação, com acesso limitado de usuários, e com identidade verificada a cada tentativa de acesso.

 

2-  A maioria das campanhas de ataque, incluindo Vollgar, envolve comunicação de rede com servidores CNC. As comunicações de saída para esses destinos podem e devem ser bloqueadas.

 

3- As máquinas infectadas devem ser colocadas imediatamente em quarentena, sem acesso a outros ativos na rede. Também é importante alterar todas as senhas da sua conta de usuário MS-SQL para senhas fortes.

 

Para verificar se sua máquina Windows foi infectada, o Guardicore Labs fornece um script Powershell de código-fonte aberto que você pode encontrar aqui.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA