Novo malware MrbMiner infectou milhares de bancos de dados MSSQL

Uma nova gangue de malware ganhou fama nos últimos meses invadindo o Microsoft SQL Servers (MSSQL) e instalando um cripto-minerador.

Milhares de bancos de dados MSSQL  foram infectados até agora, de acordo com o braço de segurança cibernética da gigante chinesa de tecnologia Tencent.

Em um  relatório  publicado no início deste mês, a Tencent Security nomeou essa nova gangue de malware como  MrbMiner , em homenagem a um dos domínios usados ​​pelo grupo para hospedar seu malware.

A empresa chinesa diz que o botnet se espalhou exclusivamente por meio da varredura de servidores MSSQL na Internet e, em seguida, realizando ataques de força bruta, tentando repetidamente a conta de administrador com várias senhas fracas.

Depois que os invasores se firmam em um sistema, eles baixam um  arquivo assm.exe inicial  , que usam para estabelecer um mecanismo de persistência de (re) inicialização e adicionar uma conta backdoor para acesso futuro. Tencent diz que esta conta usa o nome de usuário ” Padrão ” e uma senha de ” @ fg125kjnhn987.”

A última etapa do processo de infecção foi conectar-se ao servidor de comando e controle e baixar um aplicativo que extrai a criptomoeda Monero (XMR) abusando dos recursos do servidor local e gerando moedas XMR em contas controladas pelos atacantes.

VARIANTES DE LINUX E ARM TAMBÉM DESCOBERTAS

A Tencent Security afirma que, embora tenha visto apenas infecções em servidores MSSQL, o servidor MrbMiner C&C também continha versões do malware do grupo desenvolvidas para servidores Linux e sistemas baseados em ARM.

Depois de analisar a versão Linux do malware MrbMiner, os especialistas da Tencent disseram que identificaram uma carteira Monero onde o malware gerava fundos.

O endereço continha 3.38 XMR (~ $ 300), sugerindo que as versões do Linux também estavam sendo distribuídas ativamente, embora detalhes sobre esses ataques permaneçam desconhecidos por enquanto.

A carteira Monero usada para a versão MbrMiner implantada em servidores MSSQL armazenava 7 XMR (~ $ 630). Embora as duas somas sejam pequenas, sabe-se que gangues de mineração de criptografia usam carteiras múltiplas para suas operações, e o grupo provavelmente gerou lucros muito maiores.

Por enquanto, o que os administradores de sistema precisam fazer é verificar seus servidores MSSQL quanto à presença da   conta backdoor Default / @ fg125kjnhn987 . Caso eles encontrem sistemas com esta conta configurada, auditorias completas de rede são recomendadas.

Fonte: https://www.zdnet.com/article/new-mrbminer-malware-has-infected-thousands-of-mssql-databases/
Imagem: Caroline Grondin, Microsoft, ZDNet