Comercial (11) 2577-7899

Originada na China, campanha compromete diariamente cerca de três mil servidores de bancos de dados

O Guardicore Labs divulgou na última quarta (1) a atuação de uma campanha maliciosa que sequestra servidores MS-SQL expostos à internet para, de posse do controle das máquinas torná-las mineradoras de criptomoedas.

Batizada pela provedora de segurança como Vollgar, a campanha usa força bruta de senhas para violar o equipamento, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores.  Em um dia comum, a Vollgar pode infectar cerca de três mil servidores de bancos de dados infectados diariamente.

China, Índia, Estados Unidos, Coreia do Sul e Turquia são os países mais visados, sendo que as vítimas desse ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.

Os ataques utilizaram mais de 120 endereços IP, a grande maioria dos quais na China – provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período de tempo. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.

“Manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados”, comenta Ophir Harpaz, que assina o relatório da Guardicore sobre a campanha.

Dicas para diminuir os riscos de uma invasão:

  • Não exponha servidores de banco de dados à internet. Eles precisam estar acessíveis apenas em máquinas da organização protegidas por políticas de segmentação, com acesso limitado de usuários, e com identidade verificada a cada tentativa de acesso.
  • A maioria das campanhas de ataque, incluindo Vollgar, envolve comunicação de rede com servidores CNC. As comunicações de saída para esses destinos podem e devem ser bloqueadas.
  • As máquinas infectadas devem ser colocadas imediatamente em quarentena, sem acesso a outros ativos na rede. Também é importante alterar todas as senhas da sua conta de usuário MS-SQL para senhas fortes.

Fonte: https://computerworld.com.br/2020/04/03/conheca-vollgar-ameaca-que-usa-servidores-ms-sql-como-criptomineradores/

Compartilhar está publicação