Pelaku Ancaman Menargetkan Server Microsoft SQL untuk Menyebarkan Ransomware FreeWorld
01 Sep 2023NewsroomKeamanan Basis Data / Ransomware
Pelaku ancaman mengeksploitasi server Microsoft SQL (MS SQL) yang tidak diamankan dengan baik untuk mengirimkan Cobalt Strike dan jenis ransomware yang disebut FreeWorld.
Perusahaan keamanan siber Securonix, yang mensponsori kampanye tersebut DB#JAMMERmengatakan bahwa hal ini menonjol karena cara penggunaan perangkat dan infrastrukturnya.
“Beberapa alat ini mencakup perangkat lunak enumerasi, muatan RAT, perangkat lunak eksploitasi dan pencurian kredensial, dan akhirnya muatan ransomware,” kata peneliti keamanan Den Iuzvyk, Tim Peck, dan Oleg Kolesnikov dalam rincian teknis aktivitas tersebut.
“Muatan ransomware pilihan tampaknya merupakan varian terbaru dari ransomware Mimic yang disebut FreeWorld.”
Akses awal ke host korban dicapai dengan memaksa server MS SQL, menggunakannya untuk menghitung database dan memanfaatkan opsi konfigurasi xp_cmdshell untuk menjalankan perintah shell dan melakukan pengintaian.
Tahap berikutnya memerlukan pengambilan langkah-langkah untuk merusak firewall sistem dan membangun persistensi dengan menghubungkan ke share SMB jarak jauh untuk mentransfer file ke dan dari sistem korban serta menginstal alat berbahaya seperti Cobalt Strike.
Hal ini, pada gilirannya, membuka jalan bagi distribusi perangkat lunak AnyDesk untuk pada akhirnya mendorong ransomware FreeWorld, tetapi tidak sebelum melakukan langkah perpindahan lateral. Para penyerang tak dikenal juga dikatakan gagal membangun persistensi RDP melalui Ngrok.
“Serangan tersebut awalnya berhasil akibat serangan brute force terhadap server MS SQL,” kata para peneliti. “Penting untuk menekankan pentingnya kata sandi yang kuat, terutama pada layanan publik.”
Ini bukan pertama kalinya server MS SQL yang dikelola dengan buruk menjadi sasaran pelaku ancaman untuk menyebarkan malware. Pekan lalu, AhnLab Security Emergency Response Center (ASEC) merinci gelombang baru serangan cyber yang dirancang untuk menyebarkan LoveMiner dan memprogram perangkat lunak pada server yang disusupi.
Pengungkapan ini terjadi ketika operator ransomware Rhysida telah memakan korban 41 orang, dan lebih dari setengahnya berada di Eropa.
Rhysida adalah salah satu jenis ransomware baru yang muncul pada Mei 2023, mengadopsi taktik yang semakin populer yaitu mengenkripsi dan mengambil data sensitif dari organisasi dan mengancam akan membocorkan informasi jika korban menolak membayar.
Ini juga mengikuti peluncuran dekripsi gratis untuk jenis ransomware yang disebut Key Group dengan memanfaatkan beberapa kesalahan kriptografi dalam program tersebut. Namun skrip Python hanya berfungsi pada sampel yang dikompilasi setelah 3 Agustus 2023.
“Key Group ransomware menggunakan kunci statis berkode base64 N0dQM0I1JCM= untuk mengenkripsi data korban,” kata perusahaan keamanan siber Belanda, EclecticIQ, dalam sebuah laporan yang dirilis Kamis.
“Pelaku ancaman mencoba meningkatkan keacakan data terenkripsi dengan menggunakan teknik kriptografi yang disebut salting. Garam tersebut bersifat statis dan digunakan untuk setiap proses enkripsi yang menimbulkan kelemahan signifikan dalam rutinitas enkripsi.”
Tahun 2023 telah menyaksikan rekor lonjakan serangan ransomware setelah jeda pada tahun 2022, bahkan ketika persentase insiden yang mengakibatkan korban membayar telah turun ke rekor terendah sebesar 34%, menurut statistik yang dibagikan oleh Coveware pada bulan Juli 2023.
Sebaliknya, jumlah rata-rata tebusan yang dibayarkan telah mencapai $740,144, naik 126% dari Q1 2023.
Fluktuasi tingkat monetisasi ini juga disertai oleh pelaku ancaman ransomware yang terus mengembangkan keahlian pemerasan mereka, termasuk membagikan rincian teknik serangan mereka untuk menunjukkan mengapa para korban tidak memenuhi syarat untuk menerima pembayaran asuransi siber.
“Snatch mengklaim bahwa mereka akan merilis rincian tentang bagaimana serangan terhadap korban yang tidak membayar berhasil dengan harapan bahwa perusahaan asuransi akan memutuskan bahwa insiden tersebut tidak boleh ditanggung oleh ransomware asuransi,” kata peneliti keamanan Emsisoft Brett Callow dalam sebuah postingan yang dibagikan di X (sebelumnya Twitter ) bulan lalu.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
