O Guardicore Labs descobriu e vem mantendo em seu radar há quase dois anos uma campanha de violação de servidores MS-SQL expostos à Internet, infectando-os com ferramentas de acesso remoto e criptomineradores. Um pico no número de incidentes em dezembro do ano passado levou o Guardicore Labs a acompanhar de perto a campanha – originada na China – e seu impacto, constatando cerca de três mil servidores de bancos de dados infectados diariamente. Os países mais visados são China, Índia, Estados Unidos, Coreia dos Sul e Turquia. E as vítimas desse ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.
Para verificar se sua máquina Windows foi infectada, o Guardicore Labs fornece um script Powershell de código-fonte aberto que você pode encontrar aqui: https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
A campanha Vollgar
Desde maio de 2018, a campanha usa força bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores. A Guardicore chamou esta campanha Vollgar, que deriva da combinação do nome criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar.
Ophir Harpaz, que assina o relatório da Guardicore sobre o Vollgar, comenta que “manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados”.
Os ataques utilizaram mais de 120 endereços IP, a grande maioria dos quais na China – provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período de tempo. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.
Isso mostra o sucesso do ataque, capaz de ocultar seu rastro e contornar mitigações como antivírus e EDR (Endpoint Detection and Response). Ophir Harpaz observa que embora existam apenas cerca de meio milhão de servidores MS-SQL, há um grande número de ataques dirigidos a eles. Esses servidores de banco de dados são atraentes para os invasores principalmente pelos dados que contêm, relacionados a informações pessoais, como nomes de usuário, senhas, números de cartão de crédito, etc.
Algumas medidas para evitar essas invasões são:
Não expor servidores de banco de dados à Internet. Eles precisam estar acessíveis apenas em máquinas da organização protegidas por políticas de segmentação, com acesso limitado de usuários, e com identidade verificada a cada tentativa de acesso.
A maioria das campanhas de ataque, incluindo Vollgar, envolve comunicação de rede com servidores CNC. As comunicações de saída para esses destinos podem e devem ser bloqueadas.
As máquinas infectadas devem ser colocadas imediatamente em quarentena, sem acesso a outros ativos na rede. Também é importante alterar todas as senhas da sua conta de usuário MS-SQL para senhas fortes.
Veja aqui a integra do relatório:
https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo