Las campañas de ciberataques orquestadas por grupos de hackers especializados representan una amenaza constante para organizaciones de todo el mundo. Una de estas campañas, conocida como Returgence, ha captado la atención de expertos y analistas por su enfoque específico en servidores Microsoft SQL Server (MSSQL).
Los actores turcos con motivación financiera han experimentado un notable avance en el ámbito de las amenazas cibernéticas, dando lugar a una nueva campaña denominada "RE#TURGENCE". Esta campaña se basa en la explotación de servidores MSSQL para la distribución del ransomware MIMIC en las regiones de Estados Unidos, la Unión Europea y América Latina.
El objetivo principal de RE#TURGENCE es obtener acceso inicial a través de servidores de bases de datos MSSQL. La estrategia de ataque contempla dos resultados posibles: la venta de acceso a sistemas comprometidos o la ejecución de ataques con ransomware. Este patrón se detectó tras una importante brecha de seguridad operativa por parte de los atacantes.
Siguiendo una línea similar a la campaña previamente identificada como DB#JAMMER, los atacantes de RE#TURGENCE obtienen acceso mediante ataques de fuerza bruta a contraseñas administrativas en servidores MSSQL expuestos. Para iniciar la intrusión, se aprovechan de manera específica del procedimiento xp_cmdshell, que generalmente está desactivado por defecto.
Una vez logrado el acceso, los atacantes proceden a ejecutar código mediante el procedimiento xp_cmdshell. La fase crítica incluye la descarga y ejecución de un archivo mediante un comando de PowerShell, que a su vez descarga y ejecuta una carga útil muy encriptada de Cobalt Strike. Esta carga útil se inyecta en el proceso en curso mediante técnicas de reflexión en memoria, lo que desempeña un papel crucial en la evolución de la campaña.
Para lograr la persistencia, los actores de amenazas crean usuarios locales y abusan de software legítimo, instalando el servicio AnyDesk. Luego, utilizan Mimikatz para acceder a las credenciales y la utilidad Advanced Port Scanner para comprender mejor la red, lo que les permite moverse lateralmente a través de la infraestructura de la red.
El desenlace de RE#TURGENCE implica la activación del ransomware MIMIC. Esta variante hace uso de la aplicación legítima Everything para identificar los archivos que serán cifrados. La ejecución del ransomware, realizada de forma manual por los atacantes, causa interrupciones significativas en las operaciones de los servidores comprometidos.
Resulta interesante destacar que el desarrollo de esta campaña permitió revelar detalles sobre las operaciones de los atacantes, incluyendo comunicaciones y nombres de usuario vinculados con perfiles geográficos coincidentes con plataformas de piratería conocidas.
Conoce más sobre: Hackers atacan servidores Microsoft SQL con Ransomware Mimic
La campaña RE#TURGENCE se caracterizó por la presencia de múltiples direcciones IP de Comando y Control (C2) junto con un dominio específico utilizado como punto de referencia para su herramienta Cobalt Strike. Esta infraestructura revela un nivel de sofisticación significativo respaldando esta operación.
Las direcciones C2 empleaban números de puerto aparentemente aleatorios y no convencionales. El único dominio utilizado, seruvadessigen.3utilities[.]com, se extrajo de la configuración de la herramienta Cobalt Strike.
Te podrá interesar: Desentrañando el Mundo de la Ciberseguridad C2
Para hacer frente a amenazas como RE#TURGENCE, es crucial implementar prácticas de seguridad sólidas. Estas medidas incluyen establecer políticas de contraseñas seguras, asegurarse de realizar actualizaciones periódicas, emplear autenticación multifactor y mantener sistemas de detección de intrusos eficientes. Además, las organizaciones deben dar prioridad a la realización de copias de seguridad de manera regular, ofrecer capacitación a su personal y tener un plan integral de respuesta a incidentes.
La campaña RE#TURGENCE resalta la necesidad constante de medidas proactivas en el ámbito de la ciberseguridad. A medida que los actores de amenazas continúan desarrollando sus tácticas, nuestras defensas también deben evolucionar. Este incidente nos recuerda la complejidad y la persistencia de las amenazas cibernéticas modernas, subrayando la importancia de soluciones avanzadas como las que ofrecemos en TecnetOne.