La botnet KingMiner fuerza a las bases de datos MSSQL para instalar el minero de criptomonedas


MSSQL Microsoft SQL Server

Se recomienda a los propietarios de bases de datos MSSQL que aseguren sus servidores, dijo hoy la firma de seguridad cibernética del Reino Unido, Sophos.

La compañía dice que detectó una operación de botnet que apunta a bases de datos MSSQL con ataques de fuerza bruta que intentan adivinar la contraseña de la cuenta «sa» (administrador del servidor).

Una vez que los piratas informáticos entran en un sistema MSSQL vulnerable, crean otro usuario de base de datos llamado «dbhelp» e instalan un minero de criptomonedas que abusa de los recursos del servidor para generar ganancias para la pandilla.

KingMiner ha estado activo desde finales de 2018

Sophos dice que esta operación de botnet se conoce con el nombre de KingMiner, y es la misma pandilla que se documentó previamente en un informe del formulario de seguridad cibernética Punto de handle a fines de 2018y luego otra vez por Qihoo 360 Total Protection en julio 2019.

Si bien la mayoría de las botnets de malware desaparecen después de unas pocas semanas o meses de actividad, la operación KingMiner parece haber obtenido una ganancia suficiente para que los delincuentes continúen los ataques incluso hasta el día de hoy.

Además, el código de la botnet también ha evolucionado con el tiempo, lo que demuestra que los piratas informáticos invirtieron en agudizar sus herramientas y rutinas de ataque.

Sophos dice que la operación KingMiner ahora es más persistente y capaz de obtener root en el servidor Windows subyacente donde se ejecuta la foundation de datos MSSQL. Esto se logra mediante la explotación de errores de elevación de privilegios, como CVE-2017-0213 o CVE-2019-0803, que otorgan acceso al malware KingMiner para ejecutar código con privilegios de administrador.

Sophos dice que los operadores de KingMiner han agregado este paso adicional en un intento por evitar que sus operaciones se vean interrumpidas, ya sea por soluciones de seguridad u otras botnets que puedan infectar el mismo servidor.

KingMiner experimentando con acceso expandido

Otra área en la que la pandilla KingMiner parece estar expandiéndose actualmente es expandir el acceso del servidor MSSQL a otros sistemas a los que la base de datos está conectada en la purple pirateada de una compañía.

El enfoque de KingMiner en expandir el acceso a las redes internas no es algo nuevo o extraño, ya que este mismo comportamiento también se ha detectado en varias otras botnets de minería de criptomonedas. Sin embargo, actualmente, KingMiner se encuentra en las etapas incipientes de implementar tal característica.

Lo está haciendo de varias maneras. La primera es que KingMiner ahora está experimentando con EternoAzul exploit, la misma vulnerabilidad utilizada en los brotes de ransomware WannaCry y NotPetya de 2017.

EternalBlue permite a los atacantes acceder a sistemas remotos de Home windows a través de un mistake en sus implementaciones de protocolo de Bloque de mensajes del servidor (SMB). Aunque las correcciones se han puesto a disposición desde 2017, no todas las empresas se han molestado en parchear sistemas vulnerables.

La segunda forma en que la botnet intenta expandirse localmente es mediante la descarga de otras herramientas y malware en servidores MSSQL infectados. Estos incluyen el descargador de contraseñas Mimikatz, el troyano de acceso remoto Gh0st y el troyano de puerta trasera Gates.

Se cree que KingMiner hace esto para robar contraseñas para otros sistemas a los que el servidor de la base de datos podría estar conectado. Sin embargo, Sophos dice que esto todavía está en sus primeras etapas.

«La presencia de Mimikatz es un nuevo desarrollo, que se encuentra solo en los últimos repositorios. No hemos visto que se use, pero el script de descarga se refería a él. Probablemente sea un trabajo en progreso», dijo la firma de seguridad.

Sistemas de parches KingMiner para BlueKeep

Pero la característica más extraña que encontró Sophos fue que los operadores de KingMiner también escanearon el sistema infectado para ver si es vulnerable a BlueKeep vulnerabilidad en el protocolo de escritorio remoto.

Si se determina que el sistema es susceptible, la pandilla KingMiner deshabilita el acceso RDP a la foundation de datos para evitar que el servidor sea pirateado por otras operaciones de malware.

Con todo, KingMiner muestra que las botnets de malware han seguido obteniendo ganancias a pesar del precio al alza y a la baja de la criptomoneda Monero. Este beneficio le ha dado a los piratas informáticos una razón para perseguir sistemas vulnerables, y especialmente después de las bases de datos MSSQL, que han sido algunos de los servidores más atacados por las botnets de cripto-minería.

Otras botnets que han atacado los sistemas MSSQL incluyen los gustos de Vollgar, Nansh0u, MyKings (Smominru), y MassMiner.

Para evitar los ataques de KingMiner, la forma más fácil es asegurar sa cuenta con una contraseña segura. los sa cuenta se considera la cuenta con Los más altos privilegios en un sistema MSSQLy debería ser asegurado en consecuencia.

Los indicadores de compromiso para los recientes ataques de KingMiner están disponibles en el informe reciente de Sophos, disponible aquí en formato PDF.



Enlace a la noticia first