En un reciente desarrollo en el mundo de la ciberseguridad, los servidores SQL de Microsoft se han convertido en el objetivo principal de una nueva ola de ataques de ransomware denominada "Mimic". Un grupo de piratas informáticos turcos, motivados por fines financieros, están apuntando a servidores Microsoft SQL (MSSQL) en todo el mundo con el ransomware Mimic (N3ww4v3) para cifrar los archivos de sus víctimas. Estos ataques en curso se consideran altamente preocupantes y han sido dirigidos hacia objetivos en la Unión Europea, Estados Unidos y América Latina.
Un equipo de investigación de amenazas, informa que esta campaña de amenazas parece tener dos posibles resultados: la venta de acceso al servidor comprometido o la entrega final de las cargas útiles del ransomware. El lapso de tiempo entre el acceso inicial y la implementación del ransomware Mimic en el sistema de la víctima ha sido de aproximadamente un mes.
Los servidores MSSQL con configuraciones de seguridad deficientes fueron el blanco de los actores de amenazas en esta situación. Estos actores lograron comprometer servidores de bases de datos MSSQL que estaban expuestos en línea mediante ataques de fuerza bruta. Posteriormente, aprovecharon el procedimiento almacenado xp_cmdshell en el sistema, lo que les permitió crear un shell de comandos de Windows con los mismos privilegios de seguridad que la cuenta de servicio de SQL Server.
Es importante destacar que xp_cmdshell generalmente se encuentra deshabilitado de forma predeterminada debido a que los actores malintencionados a menudo lo utilizan para elevar sus propios privilegios, y su uso tiende a activar herramientas de auditoría de seguridad.
En la siguiente etapa de su ataque, los perpetradores ejecutaron una carga útil de Cobalt Strike, que estaba altamente ofuscada, utilizando una serie de scripts de PowerShell y técnicas de reflexión en memoria. Su objetivo final era inyectar esta carga útil en el proceso nativo de Windows conocido como SndVol.exe.
Además, descargaron y pusieron en marcha la aplicación de escritorio remoto AnyDesk como un servicio adicional. Luego, comenzaron a recopilar credenciales de texto sin cifrar utilizando la herramienta Mimikatz.
Una vez completada esta fase, realizaron un escaneo de la red local y el dominio de Windows utilizando la utilidad Advanced Port Scanner. Posteriormente, comprometieron otros dispositivos en la red y, utilizando las credenciales previamente robadas, lograron comprometer el controlador de dominio.
Simulación de Mensaje de Rescate de Ransomware
Te podrá interesar leer: ¿Qué es un SOC como Servicio?
A través de la aplicación AnyDesk, los atacantes llevaron a cabo su intrusión. Luego, procedieron a implementar las cargas útiles del ransomware Mimic en forma de archivos autoextraíbles. Utilizaron la aplicación legítima "Everything" para buscar archivos que pudieran cifrar, empleando una técnica que se observó por primera vez en enero de 2023.
Investigadores comentaron que "Mimic eliminará los binarios de Everything utilizados para ayudar en el proceso de cifrado. El cuentagotas de Mimic en nuestro caso, 'red25.exe', eliminó todos los archivos necesarios para que la carga útil principal del ransomware complete sus objetivos". Una vez que se completó el proceso de cifrado, el proceso "red.exe" ejecutó el aviso de cifrado/pago, que se guardó en la unidad C:\ de la víctima bajo el nombre de "'—IMPORTANTE—NOTICE—.txt'".
También se observó que el correo electrónico utilizado en la nota de rescate estaba relacionado con el grupo de amenazas que utilizó el ransomware Phobos, una variante que se originó en 2018 como un ransomware como servicio derivado de la familia de ransomware Crysis.
Además, los investigadores también expusieron otra campaña dirigida a servidores MSSQL el año pasado, conocida como DB#JAMMER, que utilizaba el mismo vector de ataque de acceso inicial mediante fuerza bruta e implementaba el ransomware FreeWorld (otro nombre para el ransomware Mimic).
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
Protegerse contra el ransomware Mimic requiere una estrategia multifacética que incluya:
Conoce más sobre: ¿Tu software está al día?: Importancia de los Parches
Los ataques de ransomware "Mimic" representan una seria amenaza para las empresas que dependen de los servidores SQL de Microsoft. La comprensión de cómo operan estos ataques y la implementación de medidas de seguridad robustas son esenciales para proteger los activos digitales críticos. La prevención, a través de prácticas de seguridad proactivas, sigue siendo la mejor defensa contra esta creciente amenaza.