Los investigadores de seguridad que participan en la distribución del malware MrbMiner han detectado una nueva campaña de ataque peligroso que está programado para infectar bases de datos MSSQL.. Son parte de los sitios empresariales y de la empresa y se utilizan para contener información confidencial y valores importantes del sitio.. La naturaleza de los ataques y el hecho de que muchos portales se hayan visto comprometidos muestra que el grupo de piratería detrás de ellos posiblemente tenga mucha experiencia..
MrbMiner Malware aprovechado contra bases de datos MSSQL
Las bases de datos MSSQL parecen estar siendo atacadas por una nueva campaña de ataque devastadora. Esta vez es un malware peligroso llamado MrbMiner que está ideado por un grupo de piratería experimentado. En este momento no hay información disponible sobre la identidad de los criminales detrás de ella.. El nombre se le dio al virus después de uno de los nombres de dominio que se registró para propagarlo.
Los ataques usando un enfoque de botnet — Numerosas computadoras y hosts pirateados tienen la tarea de identificar automáticamente los servidores de bases de datos accesibles en una red determinada.. Si se encuentra, se invocará un script automático que intentará aprovechar varias vulnerabilidades de seguridad.. La principal técnica utilizada es la intentos de fuerza bruta que utilizará un diccionario o listas basadas en algoritmos de nombres de usuario y contraseñas de los usuarios administrativos.
Tan pronto como MrbMiner Malware se implementa en una computadora determinada, secuencia de ejecución preestablecida empezará. La primera acción en la versión actual es descargar un archivo assm.exe desde un servidor remoto. Preparará el medio ambiente instituyendo un instalación persistente. Los archivos de virus se iniciarán cada vez que se encienda la computadora.. Adicionalmente, puede bloquear el acceso a las opciones de arranque de recuperación, lo que hará que sea muy difícil seguir la mayoría de las guías de eliminación manual del usuario.
De acuerdo con la reportes de investigación los ataques están actualmente modificados y probablemente cambiarán en un futuro próximo. Son particularmente útiles para difundir malware peligroso como el Troyano Qbot.
Capacidades adicionales de malware MrbMiner
Un paso adicional es la instalación de un módulo de Troya. Se utiliza para mantener una conexión con el servidor controlado por piratas informáticos.. Se utiliza para tomar el control de los sistemas y robar archivos y datos de los hosts pirateados.. En general, Los servidores de bases de datos se construyen sobre servidores de nivel empresarial y de rendimiento optimizado.. Por esta razón, Los piratas informáticos detrás de la campaña en curso han decidido implementar otra acción peligrosa: implementar un minero de criptomonedas. Este es un script configurado para descargar múltiples tareas complejas de alto rendimiento en los servidores infectados.. Se ejecutarán automáticamente, lo que tendrá un efecto paralizante en la usabilidad de los sistemas.. Por cada trabajo informado y completado, los piratas informáticos recibirán activos de criptomonedas como recompensa.
El análisis de código de las muestras recopiladas muestra que el virus se compila de forma cruzada para ser compatible con los sistemas Linux y la arquitectura ARM.. Esto significa que el malware también puede ejecutarse en dispositivos que se utilizan en entornos de IoT., instalaciones de producción y etc..
Esto también nos lleva a creer que el grupo de piratas informáticos puede estar persiguiendo un ataque mucho mayor en el futuro cercano.. Este hecho llevó a los analistas a seguir buscando y descubrieron que los fondos de malware generados por el módulo minero se reenviaban a una billetera de Monero.. Las transacciones que se le han enviado actualmente ascienden a aproximadamente 300 Dólar estadounidense. Esto sugiere que los ataques de Linux se han iniciado recientemente..
En el momento de la mayoría de los ataques, los investigadores señalan que hay una manera de averiguar si su MSSQL se ha visto afectado. Los administradores del sistema pueden buscar la presencia de una cuenta de puerta trasera con el nombre de Predeterminado / @ fg125kjnhn987.