Hackers Atacan Servidores Para Obtener Criptomonedas Infectando Servicios

database-hacking

Los investigadores de seguridad han descubierto múltiples campañas de ataque llevadas a cabo por un grupo criminal chino que opera en todo el mundo, dirigidas a los servidores de bases de datos para la minería de criptomonedas, el filtrado de datos confidenciales y la construcción de una botnet DDoS.

Los investigadores de la firma de seguridad GuardiCore Labs han analizado miles de ataques lanzados en los últimos meses e identificado al menos tres variantes de ataque, Hex, Hanako y Taylor, dirigidas a diferentes servidores MS SQL y MySQL para Windows y Linux.

Los objetivos de las tres variantes son diferentes: Hex instala mineros de criptomonedas y troyanos de acceso remoto (RAT) en máquinas infectadas, Taylor instala un keylogger y una puerta trasera, y Hanako usa dispositivos infectados para construir una botnet DDoS.

Hasta ahora, los investigadores han registrado cientos de ataques Hex y Hanako y decenas de miles de ataques de Taylor cada mes y descubrieron que las máquinas más comprometidas tienen su base en China, y algunas en Tailandia, Estados Unidos, Japón y otros.

Para obtener acceso no autorizado a los servidores de bases de datos, los atacantes usan ataques de fuerza bruta y luego ejecutan una serie de comandos SQL predefinidos para obtener acceso persistente y evadir los registros de auditoría.

¿Qué es interesante? Para lanzar ataques contra servidores de bases de datos y propagar archivos maliciosos, los atacantes usan una red de sistemas ya comprometidos, lo que hace que su infraestructura de ataque sea modular y previene la eliminación de sus actividades maliciosas.

Para lograr acceso persistente a la base de datos de la víctima, las tres variantes (Hex, Hanko y Taylor) crean usuarios de puerta trasera en la base de datos y abren el puerto de escritorio remoto, permitiendo a los atacantes descargar e instalar remotamente su siguiente etapa de ataque: un minero de criptomoneda, Remote Access Trojan (RAT) o un robot DDoS.

    “Más adelante en el ataque, el atacante detiene o desactiva una variedad de aplicaciones antivirus y de monitoreo ejecutando comandos de shell”, escribieron los investigadores en su publicación del blog publicada el martes.

“El objetivo del antivirus es una mezcla de productos conocidos como Avira y Panda Security y un software de nicho como Quick Heal y BullGuard”.

Finalmente, para cubrir sus pistas, los atacantes eliminan cualquier entrada innecesaria de registro, archivo y carpeta de Windows usando archivos por lotes predefinidos y scripts de Visual Basic.

Los administradores deben verificar la existencia de los siguientes nombres de usuarios en sus bases de datos o sistemas para identificar si han sido comprometidos por los piratas informáticos criminales chinos.

  • hanako
  • kisadminnew1
  • 401hk$
  • Guest
  • Huazhongdiguo110

Para evitar el compromiso de sus sistemas, los investigadores recomendaron a los administradores que sigan siempre las guías para fortalecer la seguridad de las bases de datos (proporcionadas por MySQL y Microsoft), en lugar de tener una contraseña segura para sus bases de datos.

     “Si bien defenderse contra este tipo de ataques puede sonar fácil o trivial, sabemos que ‘en la vida real’ las cosas son mucho más complicadas. La mejor manera de minimizar su exposición a este tipo de campañas de bases de datos es controlar las máquinas que tienen acceso a la base de datos “, aconsejaron los investigadores.

“Revise rutinariamente la lista de máquinas que tienen acceso a sus bases de datos, mantenga esta lista al mínimo y preste especial atención a las máquinas a las que se puede acceder directamente desde Internet. Cada intento de conexión desde una IP o dominio que no pertenezca a esta lista debe ser bloqueado e investigado “.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

Deja una respuesta

Reciba notificaciones de las mejores ofertas en sus temas de WordPress.

¡Suscríbete Ahora !

¡Es Gratis! Recibe en tu correo las notificaciones de los Artículos publicados en temas de interés, promociones o próximas actualizaciones que podrás disfrutar.