Microsoft SQL: server in USA e UE colpiti da ransomware Mimic

Un gruppo di hacker turchi motivati ​​finanziariamente ha preso di mira i server Microsoft SQL (MSSQL) in tutto il mondo per crittografare i file delle vittime con il ransomware Mimic (N3ww4v3). Questi attacchi in corso sono indicati come RE#TURGENCE e sono stati diretti contro obiettivi nell’Unione Europea, negli Stati Uniti e in America Latina. Come riportato dal team della società di sicurezza Securonix Threat Research, che ha individuato tali attacchi: “La campagna di minaccia analizzata sembra terminare in due modi: o con la vendita dell'accesso all'host compromesso, o con la consegna finale di payload di ransomware. La tempistica degli eventi era di circa un mese dall'accesso iniziale alla distribuzione del ransomware MIMIC sul dominio della vittima”.

Microsoft SQL: attacchi sofisticati per diffondere il ransomware Mimic sui server

Gli hacker hanno compromesso i server di database Microsoft SQL esposti online ad attacchi di forza bruta. In seguito, hanno utilizzato la procedura xp_cmdshell memorizzata nel sistema, che ha consentito loro di generare una shell dei comandi Windows con gli stessi diritti di sicurezza dell'account del servizio SQL Server. Nella fase successiva, gli aggressori hanno distribuito un payload Cobalt Strike fortemente offuscato utilizzando una sequenza di script PowerShell e tecniche di riflessione in memoria con l'obiettivo finale di inserirlo nel processo SndVol.exe nativo di Windows.

Gli autori delle minacce hanno poi lanciato l'applicazione desktop remoto AnyDesk e poi hanno raccolto credenziali in chiaro estratte utilizzando Mimikatz. Dopo aver scansionato la rete locale e il dominio Windows utilizzando l'utilità Advanced Port Scanner, questi hanno violato altri dispositivi sulla rete e, utilizzando credenziali rubate in precedenza, hanno compromesso il controller di dominio. Gli hacker hanno infine distribuito i payload del ransomware come archivi autoestraenti tramite AnyDesk, cercando file da crittografare utilizzando l’app legittima Everything. Come ricordato infine dai ricercatori di Securonix: “nella campagna gli aggressori sono riusciti direttamente a penetrare nel server con la forza bruta dall'esterno della rete principale. Raccomandiamo di fornire l'accesso a queste risorse dietro un'infrastruttura molto più sicura, come una VPN”.