Gli esperti di sicurezza informatica hanno rilevato una nuova campagna di hacking che sfrutta server MS-SQL scarsamente protetti per distribuire Trigona ransomware (si apre in una nuova scheda).
I ricercatori della società sudcoreana AhnLab hanno osservato gli attori delle minacce alla ricerca di server Microsoft SQL esposti a Internet e quindi tentando di accedervi utilizzando attacchi di forza bruta o dizionario. Questi attacchi funzionano se i server hanno password semplici e facili da indovinare e, automatizzando il processo di accesso, gli hacker possono accedere facilmente a molti server.
Una volta ottenuto l'accesso all'endpoint, gli aggressori installeranno prima il malware che i ricercatori hanno soprannominato CLR Shell. Questo malware recupera le informazioni di sistema, modifica le impostazioni dell'account compromesso e trasferisce i privilegi a LocalSystem attraverso una vulnerabilità nel servizio di accesso secondario di Windows.
Elimina backup
"CLR Shell è un tipo di malware di assemblaggio CLR che riceve comandi da attori malintenzionati ed esegue comportamenti dannosi, simili alle WebShell dei server Web", hanno affermato i ricercatori.
Il passaggio successivo consiste nell'utilizzare il dropper del malware svcservice.exe per distribuire Trigona ransomware. Durante questa fase, tutti i file sul dispositivo vengono crittografati e viene lasciata una nota di riscatto che dice alle vittime come contattare gli aggressori e negoziare il rilascio di una chiave di decrittazione. I ricercatori hanno anche affermato che Trigona disabilita il ripristino del sistema e rimuove tutte le copie shadow dei volumi di Windows per impedire alle vittime di ripristinare i propri sistemi tramite backup.
Sebbene le aziende possano essere tentate di pagare il riscatto, pensando che sarebbe il modo più semplice ed economico per risolvere il problema, il consenso generale è che dovrebbero astenersi dal cedere alle richieste criminali. Dati recenti di Rubrik Zero Labs hanno rivelato che tra tutte le organizzazioni che hanno subito un attacco ransomware e hanno pagato per il decryptor, solo il 16% è riuscito a recuperare tutti i propri dati.
Il pagamento del riscatto finanzia anche future attività criminali, motivo in più per non cedere alle richieste degli hacker.
Via: BleepingComputer (si apre in una nuova scheda)