Guardicore Labs descubrió una campaña de ataque de larga duración cuyo objetivo es infectar máquinas Windows que ejecutan servidores MS-SQL. Lo que hace que estos servidores de bases de datos sean atractivos para los atacantes.

Esta campaña que data de mayo de 2018, utiliza la fuerza bruta de la contraseña para violar las máquinas que son víctimas, implementa múltiples puertas traseras y ejecuta numerosos módulos maliciosos, como herramientas de acceso remoto multifuncionales (RAT) y criptomineros.

El ataque comienza con intentos de inicio de sesión de MS-SQL, una vez que el atacante interrumpe, se realiza una serie de cambios de configuración en la base de datos para permitir la ejecución futura de comandos.

La cadena de ataque Vollgar, así denominado por Guardicore, también demuestra la naturaleza competitiva del atacante, que mata diligentemente y a fondo los procesos de otros actores de amenazas, controlando el acceso a datos valiosos, como nombres de usuario, contraseñas, números de tarjetas de crédito, etc., a menudo almacenados en servidores MS-SQL.

Al ser Vollgar el único atacante en una máquina es muy poderoso: su malware obtiene la mayoría de los recursos como el ancho de banda, la potencia del CPU y el acceso es válido solo a través de sus puertas traseras. Por lo tanto, el atacante Vollgar pone mucho esfuerzo tanto en eliminar la actividad de otros actores de amenazas  como en eliminar sus rastros.Al eliminar estos valores, Vollgar se asegura de que no se adjunte ningún otro malware a procesos legítimos, como cmd.exe, ftp.exe, net.exe y hosts de scripts de Windows como wscript.exe y cscript.exe.

Guardicore Labs llamó la campaña Vollgar después de la criptomoneda Vollar que extrae y su comportamiento ofensivo, “vulgar”. Los servidores MS-SQL expuestos a Internet con credenciales débiles pueden explicar cómo esta campaña ha logrado infectar entre 2,000 y 3,000 máquinas de bases de datos diariamente.

Las víctimas pertenecen a diversos sectores de la industria, incluidos el cuidado de la salud, la aviación, la informática, las telecomunicaciones y la educación superior. Hasta ahora los principales países infectadosincluyen China, India, Estados Unidos, Corea del Sur y Turquía. En general, los ataques de Vollgar se originaron en más de 120 direcciones IP, la gran mayoría de las cuales se encuentran en China

Detección y mitigación

La campaña de Vollgar se dirige a máquinas con Windows que ejecutan servidores MS-SQL con conexión a Internet. Para verificar si su máquina Windows ha sido infectada, Guardicore Labs proporciona un un script de detección de Powershell gratuito  para detectar las pistas y los IOC de Vollgar. El script junto con las instrucciones de ejecución se pueden encontrar en el repositorio de IOC de la campaña.