Novo malware MrbMiner infectou milhares de bancos de dados MSSQL
Um grupo de hackers está usando servidores MSSQL de força bruta com senhas fracas e instalando malware de mineração de criptomoeda.
Uma nova gangue de malware ganhou fama nos últimos meses invadindo o Microsoft SQL Servers (MSSQL) e instalando um cripto-minerador.
Milhares de bancos de dados MSSQL foram infectados até agora, de acordo com o braço de segurança cibernética da gigante chinesa de tecnologia Tencent.
Em um relatório publicado no início deste mês, a Tencent Security nomeou essa nova gangue de malware como MrbMiner , em homenagem a um dos domínios usados pelo grupo para hospedar seu malware.
A empresa chinesa diz que o botnet se espalhou exclusivamente por meio da varredura de servidores MSSQL na Internet e, em seguida, realizando ataques de força bruta, tentando repetidamente a conta de administrador com várias senhas fracas.
Depois que os invasores se firmam em um sistema, eles baixam um arquivo assm.exe inicial , que usam para estabelecer um mecanismo de persistência de (re) inicialização e adicionar uma conta backdoor para acesso futuro. Tencent diz que esta conta usa o nome de usuário ” Padrão ” e uma senha de ” @ fg125kjnhn987.”
A última etapa do processo de infecção foi conectar-se ao servidor de comando e controle e baixar um aplicativo que extrai a criptomoeda Monero (XMR) abusando dos recursos do servidor local e gerando moedas XMR em contas controladas pelos atacantes.
VARIANTES DE LINUX E ARM TAMBÉM DESCOBERTAS
A Tencent Security afirma que, embora tenha visto apenas infecções em servidores MSSQL, o servidor MrbMiner C&C também continha versões do malware do grupo desenvolvidas para servidores Linux e sistemas baseados em ARM.
Depois de analisar a versão Linux do malware MrbMiner, os especialistas da Tencent disseram que identificaram uma carteira Monero onde o malware gerava fundos.
O endereço continha 3.38 XMR (~ $ 300), sugerindo que as versões do Linux também estavam sendo distribuídas ativamente, embora detalhes sobre esses ataques permaneçam desconhecidos por enquanto.
A carteira Monero usada para a versão MbrMiner implantada em servidores MSSQL armazenava 7 XMR (~ $ 630). Embora as duas somas sejam pequenas, sabe-se que gangues de mineração de criptografia usam carteiras múltiplas para suas operações, e o grupo provavelmente gerou lucros muito maiores.
Por enquanto, o que os administradores de sistema precisam fazer é verificar seus servidores MSSQL quanto à presença da conta backdoor Default / @ fg125kjnhn987 . Caso eles encontrem sistemas com esta conta configurada, auditorias completas de rede são recomendadas.
Fonte: https://www.zdnet.com/article/new-mrbminer-malware-has-infected-thousands-of-mssql-databases/
Imagem: Caroline Grondin, Microsoft, ZDNet
