Securonix araştırmacıları, bilgisayar korsanlarının açıkta kalan MS SQL veritabanı sunucularına Mimic fidye yazılımı dağıtmak için kaba kuvvet uyguladığı konusunda uyarıyor.
Mimic fidye yazılımı hakkında
Mimic fidye yazılımı ilk olarak Haziran 2022’de tespit edildi ve Ocak 2023’te Trend Micro araştırmacıları tarafından analiz edildi.
Şifrelenecek veya kaçınılacak dosyaları aramak için Herşey adı verilen bir Windows dosya adı arama motorunun API’lerini kötüye kullanır ve gölge kopyaları silme, işlemleri ve hizmetleri (örneğin, Windows Defender, Windows telemetri) sonlandırma, sanal sürücülerin bağlantısını kesme, etkinleştirme becerisine sahiptir. kapanmaya karşı ve öldürmeye karşı önlemler ve daha fazlası. Şifrelenmiş dosyalar .QUIETPLACE dosya uzantısını alır.
“Analizimize göre, kodun bazı bölümleri Mart 2022’de sızdırılan Conti fidye yazılımı oluşturucusunu temel alıyor ve onunla bazı benzerlikler taşıyor gibi görünüyor. Örneğin, şifreleme modlarının numaralandırması hem Mimic hem de Conti için aynı tamsayıyı paylaşıyor.” Trend Micro araştırmacıları, MIMIC’in Rusça ve İngilizce konuşan kullanıcıları hedef aldığını kaydetti.
Kampanya
Bu son kampanyada bilgisayar korsanları, kaba kuvvet saldırıları yoluyla güvenliği ihlal edilmiş MS SQL sunucularına erişmeyi başardı. Bir yönetici hesabının güvenliği ihlal edildiğinde ve erişime sahip olduklarında, xp_cmdshell komutları yürütme prosedürü. Daha sonra sistem numaralandırması gerçekleştirdiler, ek kod yürütmek için yoğun şekilde gizlenmiş bir Cobalt Strike yükünün yanı sıra AnyDesk uzaktan erişim aracını devreye aldılar.
Yerel bir kullanıcı oluşturup onu “yöneticiler” grubuna ekleyerek kalıcılık kazanırlar.
Sistem keşfi yapmaya devam ettiler, yatay hareket ettiler ve sonunda AnyDesk’i kullanarak fidye yazılımını dağıttılar.
Securonix araştırmacıları, “Olayların zaman çizelgesi, ilk erişimden Mimic fidye yazılımının kurban alanına dağıtımına kadar yaklaşık bir ay sürdü” dedi.
Bilgisayar korsanlarının finansal motivasyona sahip olduğu ve ABD, AB ve LATAM ülkelerini hedef aldığı görülüyor.
Araştırmacılar, “Analiz edilen tehdit kampanyası iki yoldan biriyle sonuçlanıyor gibi görünüyor; ya ele geçirilen ana makineye ‘erişimin’ satılması ya da fidye yazılımı yüklerinin nihai teslimi”.
MS SQL sunucuları saldırı altında
Bu son kampanya, Securonix araştırmacılarının geçen yıl tespit ettiği, aynı zamanda MS SQL sunucularını hedef alan ve Mimic fidye yazılımının bir çeşidini dağıtan kampanyaya çok benziyor.
Araştırmacılar tarafından 2020’nin başlarında belgelenen başka bir kampanyada, saldırganlar Vollar ve Monero kripto para madencilerini kurmak için güvenliği zayıf MS SQL sunucularından yararlandı.