Gli autori delle minacce che lavorano nell’ambito delle campagne di attacco DB#JAMMER stanno prendendo di mira i database Microsoft SQL (MSSQL) esposti utilizzando attacchi di brute force per fornire ransomware e payload Cobalt Strike. La campagna è stata identificata dal team di ricerca sulle minacce di Securonix.
I ricercatori hanno spiegato che uno degli aspetti che contraddistinguono DB#JAMMER è il modo in cui vengono utilizzati l’infrastruttura degli strumenti e i payload dell’aggressore. Alcuni di questi strumenti includono software di enumerazione, payload RAT, software di sfruttamento, furto di credenziali e infine payload di ransomware. Il payload del ransomware preferito sembra essere una variante più recente del ransomware Mimic chiamata “FreeWorld”.
Nella campagna osservata, gli attaccanti hanno preso di mira un server MSSQL e sono riusciti a ottenere un punto d’appoggio per l’esecuzione del codice sull’host utilizzando la funzione xp_cmdshell abilitata presente sul server.
Una volta sfruttati, gli aggressori hanno iniziato a enumerare il sistema ed eseguire comandi shell per compromettere le difese e hanno implementato strumenti che hanno contribuito a stabilire la persistenza sull’host e lanciare il payload.
Dopo l’esecuzione del ransomware, i file crittografati ottengono l’estensione “.FreeWorldEncryption” e, una volta che il ransomware ha terminato la crittografia, viene mostrata la richiesta di riscatto con le istruzioni su come pagare per decrittografare i file.
Gli esperti, considerata la rapidità con cui gli aggressori si sono messi all’opera, ritengono che questo attacco sia piuttosto sofisticato, dagli strumenti all’infrastruttura.