Hackers Atacan Servidores Para Obtener Criptomonedas Infectando Servicios

Los investigadores de seguridad han descubierto múltiples campañas de ataque llevadas a cabo por un grupo criminal chino que opera en todo el mundo, dirigidas a los servidores de bases de datos para la minería de criptomonedas, el filtrado de datos confidenciales y la construcción de una botnet DDoS.

Los investigadores de la firma de seguridad GuardiCore Labs han analizado miles de ataques lanzados en los últimos meses e identificado al menos tres variantes de ataque, Hex, Hanako y Taylor, dirigidas a diferentes servidores MS SQL y MySQL para Windows y Linux.

Los objetivos de las tres variantes son diferentes: Hex instala mineros de criptomonedas y troyanos de acceso remoto (RAT) en máquinas infectadas, Taylor instala un keylogger y una puerta trasera, y Hanako usa dispositivos infectados para construir una botnet DDoS.

Hasta ahora, los investigadores han registrado cientos de ataques Hex y Hanako y decenas de miles de ataques de Taylor cada mes y descubrieron que las máquinas más comprometidas tienen su base en China, y algunas en Tailandia, Estados Unidos, Japón y otros.

Para obtener acceso no autorizado a los servidores de bases de datos, los atacantes usan ataques de fuerza bruta y luego ejecutan una serie de comandos SQL predefinidos para obtener acceso persistente y evadir los registros de auditoría.

¿Qué es interesante? Para lanzar ataques contra servidores de bases de datos y propagar archivos maliciosos, los atacantes usan una red de sistemas ya comprometidos, lo que hace que su infraestructura de ataque sea modular y previene la eliminación de sus actividades maliciosas.

Para lograr acceso persistente a la base de datos de la víctima, las tres variantes (Hex, Hanko y Taylor) crean usuarios de puerta trasera en la base de datos y abren el puerto de escritorio remoto, permitiendo a los atacantes descargar e instalar remotamente su siguiente etapa de ataque: un minero de criptomoneda, Remote Access Trojan (RAT) o un robot DDoS.

    «Más adelante en el ataque, el atacante detiene o desactiva una variedad de aplicaciones antivirus y de monitoreo ejecutando comandos de shell», escribieron los investigadores en su publicación del blog publicada el martes.

«El objetivo del antivirus es una mezcla de productos conocidos como Avira y Panda Security y un software de nicho como Quick Heal y BullGuard».

Finalmente, para cubrir sus pistas, los atacantes eliminan cualquier entrada innecesaria de registro, archivo y carpeta de Windows usando archivos por lotes predefinidos y scripts de Visual Basic.

Los administradores deben verificar la existencia de los siguientes nombres de usuarios en sus bases de datos o sistemas para identificar si han sido comprometidos por los piratas informáticos criminales chinos.

• hanako
• kisadminnew1
• 401hk$
• Guest
• Huazhongdiguo110

Para evitar el compromiso de sus sistemas, los investigadores recomendaron a los administradores que sigan siempre las guías para fortalecer la seguridad de las bases de datos (proporcionadas por MySQL y Microsoft), en lugar de tener una contraseña segura para sus bases de datos.

     «Si bien defenderse contra este tipo de ataques puede sonar fácil o trivial, sabemos que ‘en la vida real’ las cosas son mucho más complicadas. La mejor manera de minimizar su exposición a este tipo de campañas de bases de datos es controlar las máquinas que tienen acceso a la base de datos «, aconsejaron los investigadores.

«Revise rutinariamente la lista de máquinas que tienen acceso a sus bases de datos, mantenga esta lista al mínimo y preste especial atención a las máquinas a las que se puede acceder directamente desde Internet. Cada intento de conexión desde una IP o dominio que no pertenezca a esta lista debe ser bloqueado e investigado «.