Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Servidores Microsoft SQL hackeados para implementar Trigona ransomware


Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta fáciles de adivinar.




  • Los atacantes están hackeando servidores Microsoft SQL (MS-SQL) mal protegidos y expuestos internamente para implementar cargas útiles de ransomware Trigona y cifrar todos los archivos.

Después de conectarse a un servidor, los actores de amenazas implementan malware denominado CLR Shell por investigadores de seguridad de la firma surcoreana de ciberseguridad AhnLab, que detectaron los ataques.

Este malware se utiliza para recopilar información del sistema, alterar la configuración de la cuenta comprometida y escalar privilegios a LocalSystem explotando una vulnerabilidad en el servicio de inicio de sesión secundario de Windows (que será necesario para iniciar el ransomware como servicio).

«CLR Shell es un tipo de malware de ensamblaje CLR que recibe comandos de actores de amenazas y realiza comportamientos maliciosos, de manera similar a los WebShells de los servidores web», dice AhnLab.

En la siguiente etapa, los atacantes instalan y lanzan un malware dropper como el servicio svcservice.exe, que utilizan para lanzar el ransomware Trigona como svchost.exe.

También configuran el binario ransomware para que se inicie automáticamente en cada reinicio del sistema a través de una clave de ejecución automática de Windows para garantizar que los sistemas se cifren incluso después de un reinicio.

Antes de cifrar el sistema e implementar notas de rescate, el malware deshabilita la recuperación del sistema y elimina cualquier instantánea de volumen de Windows, lo que hace imposible la recuperación sin la clave de descifrado.


Descubierto por primera vez en octubre de 2022 por MalwareHunterTeam y analizado por BleepingComputer, la operación de ransomware Trigona es conocida por aceptar solo pagos de rescate en la criptomoneda Monero de víctimas de todo el mundo.

Trigona cifra todos los archivos en los dispositivos de las víctimas, excepto aquellos en carpetas específicas, incluidos los directorios de Windows y Archivos de programa. Antes del cifrado, la pandilla también afirma robar documentos confidenciales que se agregarán a su sitio de fugas de la web oscura.

Además, el ransomware cambia el nombre de los archivos cifrados agregando la extensión ._locked e incrusta la clave de descifrado cifrada, el ID de campaña y el ID de la víctima (nombre de la empresa) en cada archivo bloqueado.

También crea notas de rescate llamadas «how_to_decrypt.hta» en cada carpeta con información sobre el ataque, un enlace al sitio web de negociación de Trigona Tor y un enlace que contiene la clave de autorización necesaria para iniciar sesión en el sitio de negociación.

La pandilla de ransomware Trigona ha estado detrás de un flujo constante de ataques, con al menos 190 presentaciones a la plataforma ID Ransomware desde principios de año.


Fuentes:

https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-deploy-trigona-ransomware/
https://blog.underc0de.org/servidores-microsoft-sql-hackeados-para-implementar-trigona-ransomware/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.