El software malicioso Skip-2.0 es una amenaza peligrosa que está siendo lanzado por un grupo de hackers conocido como Winnti. Estos hackers se les conoce como un mega-colectiva como varios grupos de piratas informáticos más pequeños utilizar este nombre para identificarse. Los criminales están utilizando un malware llamado Skip-2.0 con el fin de introducirse en servidores SQL Server de Microsoft, que las bases de datos de energía de las empresas y grupos.
Servidores Microsoft SQL atacado por hackers con Winnti Skip-Malware 2.0
Un informe de seguridad muestra que un nuevo ataque global está siendo lanzada por el grupo de hackers infame Winnti. Esto es un “grupo de Convergencia” lo que significa que varias facciones criminales más pequeños lo utilizan para identificarse con ella. El grupo está utilizando una amenaza hecha especialmente con el fin de infectar a los hosts de destino. El software malicioso Skip-2.0, que es la principal amenaza en cuestión está diseñado para crear una puerta trasera en cualquier instancia de Microsoft SQL Server instalados. La técnica en cuestión se basa en una vulnerabilidad en los hosts de servidor en el que las conexiones de malware pueden acceder a los datos almacenados usando una “cadena de la contraseña mágica”. Este es un tipo de puerta trasera que se basa en un problema de software en las aplicaciones, específicamente versiones 11 y 12.
Relacionado: CVE-2017 a 11.882: Agente Tesla malware aprovecha las técnicas de phishing
Cuando se compara con las anteriores herramientas utilizadas por los hackers los investigadores de seguridad, tenga en cuenta que hay varias similitudes con las anteriores herramientas utilizadas por los piratas informáticos. Un enfoque modular se ha utilizado para la construcción de la herramienta peligrosa - esto significa que muchos de los módulos asociados se pueden utilizar en este ataque, así. Una de las herramientas en cuestión se llama PortReuse y es una herramienta de hacking de red que se sabe que tiene varias versiones diferentes. Se puede sondear los servicios que se ejecutan en diferentes puertos, incluyendo servidores web, clientes de escritorio remoto y etc.. Algunas de las capacidades que están disponibles en ella son, probablemente, también disponible en el malware Skip-2.0:
- Los archivos de descarga y ejecución - El motor de software malicioso puede programarse para recuperar y ejecutar archivos desde una ubicación pirata informático controlado.
- Proceso de creación y transmisión en circuito - No sólo el motor funcionará de una manera prescrita, pero también puede transmisión en circuito a otras aplicaciones y servicios que se ejecutan y por lo tanto secuestrar la información y las acciones a cargo de los usuarios.
- Conexión remota de Troya - Uno de los principales objetivos de este tipo de amenazas es establecer una conexión segura a un servidor pirata informático controlado. Tal conexión permite a los atacantes remotos para tomar el control de los ordenadores infectados, espiar a las víctimas e instalar otras amenazas.
La infección por varias etapas hace posible que el motor de malware y todos los módulos asociados a pasar por alto algunas de las contramedidas de seguridad que se encuentran en su lugar. Los investigadores han señalado que el Skip-2.0 requiere privilegios administrativos para ejecutar lo que significa que el objetivo Servidores Microsoft SQL Server deben ser pirateado por otros medios antes de que pueda ser desplegado.