Un nuevo informe de seguridad indica que la operación de criptominería de KingMiner está de vuelta en el juego con nuevos ataques contra MSSQL (Microsoft SQL) bases de datos.
Los propietarios de dichas bases de datos deben proteger sus servidores., mientras los investigadores de Sophos detectaban ataques de fuerza bruta que intentaban adivinar la contraseña para "a", o cuenta de administrador del servidor.
Una vez que los atacantes logran entrar en la base de datos MSSQL objetivo, crean un nuevo usuario de base de datos denominado "dbhelp". El siguiente paso de esta operación maliciosa es instalar el conocido minero de criptomonedas KingMiner que aprovecha los recursos del servidor.
Los últimos ataques de la botnet KingMiner
De acuerdo a Informe de Sophos (PDF), "KingMiner es una botnet oportunista que se mantiene en silencio y vuela por debajo del radar". Sus operadores son ingeniosos pero tienen recursos limitados, según lo visible por las herramientas y conceptos disponibles gratuitamente que incluyen en sus operaciones. Activo Desde 2018, la botnet recientemente comenzó a experimentar con el exploit EternalBlue.
El proceso de infección puede usar un exploit de elevación de privilegios (CVE-2017-0213 o CVE2019-0803) para evitar que el sistema operativo bloquee sus actividades. Los operadores prefieren utilizar software de código abierto o de dominio público. (como PowerSploit o Mimikatz) y tener suficientes habilidades para personalizar y mejorar el código fuente. También usan familias de malware disponibles públicamente como Gh0st RAT o Gates backdoor.
Otras técnicas implementadas por la pandilla incluyen la carga lateral de DLL, y DGA (algoritmo generador de nombre de dominio) para cambiar automáticamente los dominios de alojamiento semanalmente.
Una de las cosas más peculiares de estos ataques recientes es que los operadores de KingMiner "parchan" los sistemas contra la vulnerabilidad BlueKeep:
Si la computadora infectada no tiene parches contra la vulnerabilidad Bluekeep, KingMiner deshabilita el servicio RDP vulnerable para bloquear las botnets competidoras.
En noviembre 2018, KingMiner fue una vez más dirigido a servidores de Microsoft, sobre todo IIS SQL, intentando adivinar sus contraseñas utilizando ataques de fuerza bruta. Una vez que se obtuvo el acceso, el malware descargaría un archivo de Windows Scriptlet (.sct) y ejecutarlo en la computadora de la víctima. El análisis mostró que el minero estaba configurado para usar 75% de la capacidad de la CPU de la máquina infectada. Sin embargo, errores de codificación de hecho llegarían a 100% la utilización de la CPU.
En cuanto a la piscina minera del malware, era privado y la API había sido desactivada, con la billetera nunca utilizada en piscinas públicas de minería. Esto hizo que fuera bastante imposible para los investigadores rastrear los dominios que estaban en uso, o para definir la cantidad de monedas Monero minadas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: