Campanha Vollgar ataca servidores MS-SQL

Guardicore explica como ciberameaça se propaga e destaca melhores práticas para evitar o golpe

Compartilhar:

O Guardicore Labs descobriu e vem mantendo em seu radar há quase dois anos a campanha Vollgar de violação de servidores MS-SQL expostos à Internet, infectando-os com ferramentas de acesso remoto e criptomineradores. Os países mais visados são China, Índia, Estados Unidos, Coreia do Sul e Turquia. E as vítimas desse ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.

 

Um pico no número de incidentes em dezembro do ano passado levou o Guardicore Labs a acompanhar de perto a campanha – originada na China – e seu impacto, constatando cerca de três mil servidores de bancos de dados infectados diariamente.

 

Desde maio de 2018, a campanha usa força bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores. A Guardicore chamou esta campanha Vollgar, que deriva da combinação do nome criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar.

 

Ophir Harpaz, que assina o relatório da Guardicore sobre o Vollgar, comenta que “manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados”.

 

Os ataques utilizaram mais de 120 endereços IP, a grande maioria dos quais na China – provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período de tempo. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.

 

Isso mostra o sucesso do ataque, capaz de ocultar seu rastro e contornar mitigações como antivírus e EDR (Endpoint Detection and Response). Ophir Harpaz observa que embora existam apenas cerca de meio milhão de servidores MS-SQL, há um grande número de ataques dirigidos a eles. Esses servidores de banco de dados são atraentes para os invasores principalmente pelos dados que contêm, relacionados a informações pessoais, como nomes de usuário, senhas, números de cartão de crédito, etc.

 

Algumas medidas para evitar essas invasões são:

 

1- Não expor servidores de banco de dados à Internet. Eles precisam estar acessíveis apenas em máquinas da organização protegidas por políticas de segmentação, com acesso limitado de usuários, e com identidade verificada a cada tentativa de acesso.

 

2-  A maioria das campanhas de ataque, incluindo Vollgar, envolve comunicação de rede com servidores CNC. As comunicações de saída para esses destinos podem e devem ser bloqueadas.

 

3- As máquinas infectadas devem ser colocadas imediatamente em quarentena, sem acesso a outros ativos na rede. Também é importante alterar todas as senhas da sua conta de usuário MS-SQL para senhas fortes.

 

Para verificar se sua máquina Windows foi infectada, o Guardicore Labs fornece um script Powershell de código-fonte aberto que você pode encontrar aqui.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas...
Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

Gartner: US$ 234 bilhões gastos com aplicações corporativas correm risco com IA Agêntica

Arbitragem agêntica rompe o modelo tradicional de licenciamento SaaS baseado em usuários
Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...