Хакеры атакуют открытые серверы MS SQL с помощью программы Mimic ransomware

Хакеры используют брутфорсинг открытых серверов баз данных MS SQL для доставки вымогательского ПО Mimic, предупреждают исследователи Securonix.

О программе Mimic ransomware

Впервые программа Mimic ransomware была замечена в июне 2022 г. и проанализирована исследователями Trend Micro в январе 2023 г.

Она использует API-интерфейсы поисковой системы имен файлов Windows под названием Everything для поиска файлов, подлежащих шифрованию или предотвращению, и способна удалять теневые копии, убивать процессы и службы (например, Windows Defender Windows telemetry), размонтировать виртуальные диски, активировать меры защиты от выключения и убийства и более . Зашифрованные файлы получают расширение .QUIETPLACE.

Интересно: Хакеры используют дефект Windows SmartScreen для создания вредоносного ПО DarkGate

«Из нашего анализа следует, что некоторые части кода были основаны на конструкторе выкупного ПО Conti, утечка которого произошла в марте 2022 года, и имеют с ним ряд общих черт. Например, перечисление режимов шифрования имеет одинаковое целое число как для Mimic, так и для Conti»
- отмечают исследователи Trend Micro, отмечая, что MIMIC нацелен на русскоязычных и англоязычных пользователей.

Кампания

В этой недавней кампании хакерам удалось получить доступ к взломанным серверам MS SQL с помощью атак грубой силы. После взлома учетной записи администратора и получения доступа они использовали процедуру xp_cmdshell для выполнения команд. Затем они выполняли перечисление систем, развертывали сильно обфусцированную полезную нагрузку Cobalt Strike для выполнения дополнительного кода, а также инструмент удаленного доступа AnyDesk.

Они получали постоянство, создавая локального пользователя и добавляя его в группу «администраторы».

Далее они развертывали выкупное ПО с помощью AnyDesk.

«С момента получения доступа до развертывания Mimic ransomware на компьютере жертвы прошел примерно месяц», – отмечают исследователи Securonix.

Хакеры, судя по всему, имеют финансовую мотивацию и нацелились на страны США, ЕС и LATAM.

«Проанализированная кампания угроз, похоже, заканчивается одним из двух способов: либо продажей «доступа» к скомпрометированному хосту, либо конечной доставкой полезной нагрузки ransomware»
- сообщают исследователи

MS SQL-серверы под атакой

Эта последняя кампания очень похожа на ту, что исследователи Securonix заметили в прошлом году, когда также были нацелены на MS SQL-серверы и доставляли вариант Mimic ransomware.

В другой кампании, задокументированной исследователями в начале 2020 года, злоумышленники использовали плохо защищенные MS SQL-серверы для установки майнеров криптовалют Vollar и Monero.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
Хакеры используют дефект Windows SmartScreen для создания вредоносного ПО DarkGate
Биткоин-кошелек UniSat предупреждает о поддельном приложении в iOS
Китайские хакеры Earth Krahang взломали 70 организаций в 23 странах

Комментарии (0)