ผู้โจมตีมุ่งเป้าไปที่ Microsoft SQL Servers เพื่อติดตั้ง FreeWorld Ransomware

นักวิจัยพบว่าผู้โจมตีกำลังใช้ประโยชน์จาก Microsoft SQL (MS SQL) เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อติดตั้ง Cobalt Strike และ ransomware ที่ชื่อว่า FreeWorld

นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Securonix พบแคมเปญการโจมตีที่ชื่อว่า DB#JAMMER ซึ่งแคมเปญการโจมตีดังกล่าวมีการใช้งานชุดเครื่องมือ และโครงสร้างพื้นฐาน เช่น enumeration software, RAT payloads, exploitation, credential stealing software และสุดท้ายคือ ransomware payloads ที่ดูเหมือนว่าเป็นเวอร์ชันใหม่ของ Mimic ransomware ที่ชื่อว่า FreeWorld

การเข้าถึงโฮสต์เบื้องต้นของเหยื่อทำได้โดยการ brute-forcing MS SQL server เพื่อใช้ในการเข้าถึงข้อมูล และใช้ xp_cmdshell เพื่อรันคำสั่ง shell และสแกนหาช่องโหว่บนระบบ

ขั้นตอนต่อไปคือ การดำเนินการเพื่อแฝงตัวบนระบบของเหยื่อ โดยการเชื่อมต่อกลับไปยัง SMB server ภายนอก เพื่อรับส่งไฟล์จากระบบของเหยื่อ รวมถึงติดตั้งเครื่องมือที่เป็นอันตราย เช่น Cobalt Strike

ซึ่งเป็นการปูทางสำหรับการแพร่กระจายซอฟต์แวร์ AnyDesk เพื่อทำการติดตั้ง FreeWorld ransomware ในที่สุด แต่ก่อนหน้านั้นพบว่าผู้โจมตีพยายามโจมตีผ่านทาง RDP ด้วยการใช้ Ngrok Service แต่ไม่สำเร็จ

เนื่องจากจุดเริ่มต้นของการโจมตีเริ่มจากการพยายาม brute force MS SQL server แสดงให้เห็นถึงความสำคัญในการตั้งรหัสผ่านให้ปลอดภัย โดยเฉพาะระบบที่จำเป็นต้องเปิดให้เข้าถึงจากภายนอก

รายงานดังกล่าวเกิดขึ้นภายหลังจากที่กลุ่ม Rhysida ransomware อ้างว่าได้โจมตีเหยื่อไปกว่า 41 ราย โดยมากกว่าครึ่งหนึ่งอยู่ในยุโรป

Rhysida เป็นหนึ่งในกลุ่มแรนซัมแวร์สายพันธุ์ใหม่ที่ถูกพบในเดือนพฤษภาคม 2023 โดยนำวิธีการที่ได้รับความนิยมในการเข้ารหัส และขโมยข้อมูลที่มีความสำคัญจากองค์กรต่าง ๆ และขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะหากเหยื่อปฏิเสธที่จะจ่ายเงิน

นอกจากนี้นักวิจัยจาก EclecticIQ ยังปล่อยเครื่องมือถอดรหัสฟรีสําหรับ ransomware ที่ชื่อว่า Key Group เนื่องจากข้อผิดพลาดในการเข้ารหัสหลายครั้งในโปรแกรม อย่างไรก็ตามเครื่องมือถอดรหัสดังกล่าว ใช้งานได้กับ ransomware ที่ compiled หลังจากวันที่ 3 สิงหาคม 2023 เท่านั้น

ปี 2023 พบการโจมตีจาก ransomware มากขึ้น ภายหลังจากหยุดนิ่งไปในปี 2022 ถึงแม้ว่าเปอร์เซ็นต์ของเหตุการณ์ที่ทําให้เหยื่อยอมจ่ายเงินจะลดลงถึง 34% ตามสถิติที่รายงานโดย Coveware ในเดือนกรกฎาคม 2023

ในทางกลับกันจํานวนเงินค่าไถ่ที่เหยื่อยอมจ่ายนั้นสูงถึง $740,144 เพิ่มขึ้น 126% จากไตรมาสที่ 1 ปี 2023

ที่มา : thehackernews

Microsoft SQL Server ตกเป็นเป้าการโจมตีจาก TargetCompany ransomware

นักวิจัยด้านความปลอดภัยแจ้งเตือน Microsoft SQL Server ที่มีช่องโหว่ กำลังตกเป็นเป้าหมายในการโจมตีจากกลุ่ม FARGO แรนซัมแวร์

MS-SQL เซิร์ฟเวอร์ เป็นระบบจัดการฐานข้อมูลที่เก็บข้อมูลสำหรับบริการบนอินเทอร์เน็ต และแอพ การถูกโจมตีจากผู้ไม่หวังดีอาจทำให้เกิดผลกระทบทางธุรกิจที่รุนแรงได้
โดยการโจมตีนี้มีวัตถุประสงค์เพื่อการแบล็คเมล์ของเจ้าของฐานข้อมูลเป็นหลัก

FARGO ransomware หรือที่รู้จักในชื่อ TargetCompany

นักวิจัยด้านความปลอดภัยที่ AhnLab Security Emergency Response Center (ASEC) กล่าวว่า FARGO เป็นหนึ่งในแรนซัมแวร์ที่โดดเด่นที่สุดที่มุ่งเน้นการโจมตีไปที่เซิร์ฟเวอร์ MS-SQL เช่นเดียวกันกับ GlobeImposte

มัลแวร์ประเภทนี้เคยถูกเรียกว่า “Mallox” ในอดีต เพราะมันจะต่อท้ายนามสกุลของไฟล์ที่เข้ารหัสด้วย “.mallox”

นอกจากนี้มัลแวร์ประเภทนี้ยังคือตัวเดียวกับที่นักวิจัยจาก Avast ตั้งชื่อว่า “TargetCompany” ในรายงานเมื่อเดือนกุมภาพันธ์ โดยพบว่าไฟล์ที่เข้ารหัสอาจกู้คืนได้เป็นบางกรณี

ข้อมูลทางสถิติเกี่ยวกับการโจมตีของ ransomware บนแพลตฟอร์ม ID Ransomware บ่งชี้ว่า FARGO มีการถูกพบค่อนข้างมาก

นักวิจัยระบุว่าการโจมตีของแรนซัมแวร์จะเริ่มจากการที่ MS-SQL process บนเครื่องที่ถูกโจมตี ทำการดาวน์โหลดไฟล์ .NET โดยใช้ cmd.