Descubierta una campaña de ataque con objetivo infectar máquinas Windows en las que se ejecutan servidores MS-SQL

La campaña, que se extiende desde mayo de 2018, utiliza la fuerza bruta de las contraseñas para entrar en las máquinas víctimas, despliega múltiples puertas traseras y ejecuta numerosos módulos dañinos, como herramientas multifuncionales de acceso remoto (RAT) y criptomineros. 

Hemos bautizado a la campaña Vollgar por la criptomoneda Vollar que explota y por su comportamiento ofensivo y vulgar.

Tener servidores MS-SQL expuestos a Internet con credenciales de acceso débiles no es la mejor de las ideas. Esto puede explicar cómo esta campaña ha conseguido infectar diariamente alrededor de 3 mil servidores de bases de datos. Las víctimas pertenecen a varios sectores de la industria, incluyendo sanidad, aeronáutica, TI y Telecomunicaciones y educación superior.

Esta campaña apareció por primera en mayo de 2018, en la Red Global de Sensores de Guardicore (GGSN), una red de “tarros de miel” (“honeypots”) de alta interacción.

Durante estos dos años de actividad, el flujo de ataques ha sido constante, exhaustivo, bien planificado y muy ruidoso. Un pico en el número de incidentes detectados en diciembre pasado nos llevó a vigilar de cerca la campaña y su impacto.

En general, los ataques Vollgar se lanzaron desde más de 120 direcciones IP, la gran mayoría de las cuales se encuentran ubicadas en China. Lo más probable es que se trate de máquinas comprometidas, destinadas a escanear e infectar a nuevas víctimas. Aunque algunos de estos ataques fueron de corta duración y responsables de apenas unos pocos incidentes, un par de las IP de origen permanecieron activas durante más de tres meses, atacando el GGSN docenas de veces.

Analizando los archivos de registro del atacante, pudimos obtener información sobre las máquinas comprometidas. En cuanto al período de infección, la mayoría (60%) de las máquinas infectadas permanecieron así sólo durante un corto período de tiempo. Sin embargo, casi el 20% de todos los servidores violados permanecieron infectados por más de una semana e incluso más de dos semanas. Esto demuestra lo exitoso que es el ataque al ocultar sus huellas y evitar mitigaciones como los antivirus y las herramientas Endpoint Detection and Response (conocidas por su acrónimo EDR). Por otra parte, es muy probable que este tipo de productos ni siquiera se encontraran en los servidores.

Hemos observado que el 10% de las máquinas fueron reinfectadas por el malware; el administrador del sistema pudo haber eliminado el malware, y luego verse afectado de nuevo. 

Este patrón de reinfección no es algo nuevo, como ya se ha visto en Guardicore Labs en el análisis de la campaña de Smominru, y sugiere que la eliminación del malware se hace a menudo de forma incompleta, sin una investigación a fondo de la causa de la infección.

El principal servidor CNC de Vollgar operaba desde una computadora ubicada en China. El servidor, que ejecutaba una base de datos MS-SQL y un servidor web Tomcat, se vio comprometido por más de un grupo de ataque. De hecho, encontramos casi diez puertas traseras diferentes usadas para acceder a la máquina, leer el contenido de su sistema de archivos, modificar su registro, descargar y subir archivos y ejecutar comandos. Sin embargo, la máquina estaba «en funcionamiento normal», ejecutando el servicio de base de datos, así como procesos inofensivos en segundo plano. 

Se pudo observar actividad maliciosa entre las tareas en ejecución, las sesiones activas y las listas de usuarios con privilegios administrativos, y a pesar de ello pasó desapercibido a los propietarios de este servidor.

La campaña Vollgar se dirige a las máquinas Windows que ejecutan servidores MS-SQL que están conectados a Internet. Para comprobar si una máquina Windows ha sido infectada, Guardicore Labs ofrece un script Powershell de código abierto para identificar marcas de Vollgar y los IOC (indicadores de compromiso).

 Si una maquina está infectada, Desde Guardicore recomendamos ponerla inmediatamente en cuarentena y evitar que acceda a otros activos en la red. También es importante cambiar todas las contraseñas de la cuenta de usuario del MS-SQL por contraseñas fuertes, para evitar ser nuevamente infectado por este u otros ataques de fuerza bruta.

En la actualidad hemos observado un gran número de ataques dirigidos contra los servidores MS-SQL, y eso a pesar de que apenas hay medio millón de máquinas que ejecutan este servicio de base de datos. Este número relativamente pequeño de víctimas potenciales ha desencadenado una feroz competencia entre grupos de criminales por hacerse con el control y los recursos. Estas luchas virtuales las hemos observado en muchos de los recientes ataques masivos que han tenido lugar.

Lo que hace que estos servidores de base de datos sean tan atractivos para los atacantes, además de la invaluable potencia de sus CPU, es la enorme cantidad de datos que contienen. Estas máquinas pueden almacenar información personal de todo tipo, como nombres de usuario, contraseñas, números de tarjetas de crédito, etc., que pueden llegar a caer en manos del atacante con sólo un simple golpe de fuerza bruta.