ALPHV/BlackCat é a 2ª cepa de ransomware mais predominante
123456 continua liderando lista de senhas mais utilizadas
Grupo pró-Israel é suspeito de atacar postos de gasolina no Irã
Grupo Play violou 300 vítimas, inclusive na América do Sul
Maioria das empresas de capital aberto no Brasil não possui CISO
Banco Central do Lesoto enfrenta interrupções após ciberataque
Malware Qakbot volta a atacar 3 meses após ter sido desmantelado
Os servidores de banco de dados SQL e MySQL Microsoft mal protegidos estão sendo alvos de ataques para implantação do trojan de acesso remoto Gh0stCringe. Também conhecido como CirenegRAT, o malware é uma variante do Gh0st RAT que foi usado por hackers apoiados pela China em 2020 para operações de espionagem cibernética, mas ele remonta a 2018.
Em novo relatório da empresa de segurança cibernética AhnLab, os pesquisadores de segurança dizem que os hackers por trás do GhostCringe estão visando servidores de banco de dados mal protegidos com credenciais de conta fracas e sem supervisão. Segundo os pesquisadores, eles estariam violando os servidores de banco de dados usando os processos mysqld.exe, mysqld-nt.exe e sqlserver.exe para gravar o executável malicioso ‘mcsql.exe’ no disco.
Esses ataques são semelhantes ao feito ao servidor SQL relatado em fevereiro passado, que disseminaram os beacons Cobalt Strike usando o comando xp_cmdshell do gerenciador de banco de dados.
Além do Gh0stCringe, o relatório do AhnLab menciona a presença de várias amostras de malware nos servidores examinados, indicando que os operadores de ameaças concorrentes estão violando os mesmos servidores para descartar cargas úteis para suas próprias campanhas.
Veja isso
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike
Ransomware oportunista já atacou mais de 83 mil servidores MySQL
O Gh0stCringe RAT é um malware poderoso que estabelece uma conexão com o servidor de comando e controle (C&C) para receber comandos personalizados ou exfiltrar informações roubadas. Ele tem suporte a quatro modos operacionais, ou seja, 0, 1, 2 e um modo especial do Windows 10, selecionado pelo operador da ameaça durante a implantação.
Para se defender de um possível ataque, pesquisadores de segurança aconselham primeiro atualizar o software do servidor para aplicar as atualizações de segurança mais recentes disponíveis, o que ajuda a excluir uma série de ataques que aproveitam vulnerabilidades conhecidas. Também é essencial usar uma senha de administrador forte que seja difícil de adivinhar ou força bruta.
A etapa mais crucial, no entanto, é colocar o servidor de banco de dados atrás de um firewall, permitindo que apenas dispositivos autorizados acessem o servidor. Por fim, é preciso monitorar todas as ações para identificar atividades de reconhecimento suspeitas e use um controlador de acesso a dados para inspeção de políticas de transações de dados.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL
(para a newsletter não cair no SPAM)