Uma nova campanha de ataque perigosa foi detectada por pesquisadores de segurança envolvidos na distribuição do malware MrbMiner, programado para infectar bancos de dados MSSQL. Eles fazem parte de sites corporativos e corporativos e são usados para conter informações confidenciais e valores importantes do site. A natureza dos ataques e o fato de muitos portais terem sido comprometidos mostra que o grupo de hackers por trás deles é possivelmente muito experiente.
Malware MrbMiner alavancado contra bancos de dados MSSQL
Os bancos de dados MSSQL parecem estar sob ataque por uma nova campanha de ataque devastadora. Desta vez, é um malware perigoso chamado MrbMiner que é planejado por um grupo de hackers experiente. No momento não há informações disponíveis sobre a identidade dos criminosos por trás disso. O nome foi dado ao vírus após um dos nomes de domínio que foi registrado para propagá-lo.
Os ataques usando um abordagem de botnet — vários computadores e hosts hackeados têm a tarefa de identificar automaticamente servidores de banco de dados acessíveis em uma determinada rede. Se tal for encontrado, um script automatizado será invocado, o qual tentará alavancar vários exploits de segurança. A principal técnica utilizada é a tentativas de força bruta que usará um dicionário ou listas baseadas em algoritmos de nomes de usuários e senhas dos usuários administrativos.
Assim que o malware MrbMiner for implantado em um determinado computador, um sequência de execução predefinida vai começar. A primeira ação na versão atual é baixar um arquivo assm.exe de um servidor remoto. Irá preparar o ambiente instituindo um instalação persistente. Os arquivos de vírus serão iniciados sempre que o computador for ligado. além do que, além do mais, pode bloquear o acesso às opções de inicialização de recuperação, o que tornará muito difícil seguir a maioria dos guias de remoção manual do usuário.
De acordo com relatórios de pesquisa os ataques estão ajustados e provavelmente mudarão em um futuro próximo. Eles são particularmente úteis para espalhar malware perigoso, como o Trojan Qbot.
Recursos adicionais de malware MrbMiner
Uma etapa adicional é a instalação de um módulo Trojan. É usado para manter uma conexão com o servidor controlado por hacker. É usado para assumir o controle dos sistemas e roubar todos os arquivos e dados dos hosts hackeados. Usualmente, servidores de banco de dados são construídos sobre servidores de nível empresarial e com desempenho otimizado. Por esta razão, os hackers por trás da campanha em andamento decidiram implementar outra ação perigosa - para implantar um minerador de criptomoeda. Este é um script configurado para baixar várias tarefas complexas de alto desempenho nos servidores infectados. Eles serão executados automaticamente, o que terá um efeito paralisante na usabilidade dos sistemas. Para cada trabalho relatado e concluído, os hackers receberão ativos de criptomoeda como recompensa.
A análise do código das amostras coletadas mostra que o vírus é compilado para ser compatível com os sistemas Linux e a arquitetura ARM. Isso significa que o malware também pode ser executado em dispositivos usados em ambientes IoT, instalações de produção e etc.
Isso também nos leva a acreditar que o grupo de hackers pode estar perseguindo um ataque muito maior em um futuro próximo. Este fato levou os analistas a continuar procurando e descobriram que os fundos de malware gerados pelo módulo de mineração foram encaminhados para uma carteira Monero. As transações que foram enviadas para ele atualmente somam cerca de 300 USD. Isso sugere que os ataques ao Linux foram iniciados recentemente.
No momento, para a maioria dos ataques, os pesquisadores observam que existe uma maneira de descobrir se o seu MSSQL foi afetado. Os administradores do sistema podem pesquisar a presença de uma conta backdoor com o nome de Padrão / @ fg125kjnhn987.