Хакеры используют брутфорсинг открытых серверов баз данных MS SQL для доставки вымогательского ПО Mimic, предупреждают исследователи Securonix.
О программе Mimic ransomware
Впервые программа Mimic ransomware была замечена в июне 2022 г. и проанализирована исследователями Trend Micro в январе 2023 г.
Она использует API-интерфейсы поисковой системы имен файлов Windows под названием Everything для поиска файлов, подлежащих шифрованию или предотвращению, и способна удалять теневые копии, убивать процессы и службы (например, Windows Defender Windows telemetry), размонтировать виртуальные диски, активировать меры защиты от выключения и убийства и более . Зашифрованные файлы получают расширение .QUIETPLACE.
«Из нашего анализа следует, что некоторые части кода были основаны на конструкторе выкупного ПО Conti, утечка которого произошла в марте 2022 года, и имеют с ним ряд общих черт. Например, перечисление режимов шифрования имеет одинаковое целое число как для Mimic, так и для Conti»
- отмечают исследователи Trend Micro, отмечая, что MIMIC нацелен на русскоязычных и англоязычных пользователей.
Кампания
В этой недавней кампании хакерам удалось получить доступ к взломанным серверам MS SQL с помощью атак грубой силы. После взлома учетной записи администратора и получения доступа они использовали процедуру xp_cmdshell для выполнения команд. Затем они выполняли перечисление систем, развертывали сильно обфусцированную полезную нагрузку Cobalt Strike для выполнения дополнительного кода, а также инструмент удаленного доступа AnyDesk.
Они получали постоянство, создавая локального пользователя и добавляя его в группу «администраторы».
Далее они развертывали выкупное ПО с помощью AnyDesk.
«С момента получения доступа до развертывания Mimic ransomware на компьютере жертвы прошел примерно месяц», – отмечают исследователи Securonix.
Хакеры, судя по всему, имеют финансовую мотивацию и нацелились на страны США, ЕС и LATAM.
«Проанализированная кампания угроз, похоже, заканчивается одним из двух способов: либо продажей «доступа» к скомпрометированному хосту, либо конечной доставкой полезной нагрузки ransomware»
- сообщают исследователи
MS SQL-серверы под атакой
Эта последняя кампания очень похожа на ту, что исследователи Securonix заметили в прошлом году, когда также были нацелены на MS SQL-серверы и доставляли вариант Mimic ransomware.
В другой кампании, задокументированной исследователями в начале 2020 года, злоумышленники использовали плохо защищенные MS SQL-серверы для установки майнеров криптовалют Vollar и Monero.
Комментарии (0)