近日�,Securonix威脅研究團(tuán)隊(duì)發(fā)現(xiàn)��,一群出于經(jīng)濟(jì)動(dòng)機(jī)的土耳其黑客正在全球范圍內(nèi)攻擊微軟SQL(MSSQL)服務(wù)器�,并使用Mimic(N3ww4v3)勒索軟件加密受害者的文件。這一攻擊活動(dòng)被稱為RE#TURGENCE�,主要針對(duì)歐盟、美國(guó)和拉丁美洲的目標(biāo)�����。這一事件再次凸顯了數(shù)據(jù)服務(wù)器安全問題的嚴(yán)重性和緊迫性���。
這些攻擊主要是針對(duì)配置不安全的微軟SQL服務(wù)器����。攻擊者利用暴力攻擊手段入侵在線暴露的MSSQL數(shù)據(jù)庫(kù)服務(wù)器,并利用系統(tǒng)存儲(chǔ)的xp_cmdshell進(jìn)程生成一個(gè)與SQL Server服務(wù)帳戶具有相同安全權(quán)限的Windows命令shell��。攻擊者使用一系列PowerShell腳本和內(nèi)存反射技術(shù)部署高度混淆的CobaltStrike有效負(fù)載���,最終目標(biāo)是將其注入到Windows原生進(jìn)程SndVol.exe中��。
攻擊者還下載并啟動(dòng)AnyDesk遠(yuǎn)程桌面應(yīng)用程序作為服務(wù)�����,并開始收集使用Mimikatz提取的明文憑據(jù)��。通過使用高級(jí)端口掃描程序掃描本地網(wǎng)絡(luò)和Windows域��,攻擊將蔓延到網(wǎng)絡(luò)上的其他設(shè)備�,并使用之前竊取的憑據(jù)入侵域控制器��。
攻擊者最終通過AnyDesk將Mimic勒索軟件有效載荷部署為自解壓存檔����,使用合法的Everything應(yīng)用程序搜索要加密的文件。Mimic將刪除用于輔助加密過程的Everything二進(jìn)制文件��,以便主要勒索軟件有效負(fù)載能完成其目標(biāo)�。加密過程完成后,red.exe進(jìn)程會(huì)發(fā)送加密/付款通知�,該通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盤上。
Mimic勒索軟件通知中使用的電子郵件(datenklause0@gmail.com)與Phobos勒索軟件存在關(guān)聯(lián)���。Phobos于2018年首次出現(xiàn)�����,是源自Crysis勒索軟件家族的勒索軟件即服務(wù)(RaaS)���。
Securonix去年還曝光了另一個(gè)針對(duì)MSSQL服務(wù)器的活動(dòng)(跟蹤代號(hào)為DB#JAMMER),使用相同的暴力初始訪問攻擊并部署FreeWorld勒索軟件(Mimic勒索軟件的別名)�����。
從這些攻擊活動(dòng)中可以看出��,數(shù)據(jù)服務(wù)器安全問題是一個(gè)復(fù)雜而緊迫的問題����。企業(yè)和組織需要加強(qiáng)安全意識(shí)和防范措施,及時(shí)更新系統(tǒng)和軟件補(bǔ)丁,減少漏洞和弱點(diǎn)��。同時(shí)�����,加強(qiáng)網(wǎng)絡(luò)隔離和訪問控制���,限制對(duì)數(shù)據(jù)服務(wù)器的訪問權(quán)限�,防止未經(jīng)授權(quán)的訪問和入侵��。此外���,建立完善的數(shù)據(jù)備份和恢復(fù)機(jī)制也是至關(guān)重要的�����,確保在遭受攻擊后能夠快速恢復(fù)數(shù)據(jù)和系統(tǒng)運(yùn)行���。
為了應(yīng)對(duì)勒索軟件攻擊的威脅,企業(yè)和組織需要建立完善的安全監(jiān)測(cè)和應(yīng)急響應(yīng)機(jī)制�。通過實(shí)時(shí)監(jiān)測(cè)和識(shí)別異常行為,可以及時(shí)發(fā)現(xiàn)和處理安全事件��。此外,加強(qiáng)與安全社區(qū)�����、研究機(jī)構(gòu)和供應(yīng)商的合作也是必要的���,可以共享威脅信息和最佳實(shí)踐,共同應(yīng)對(duì)勒索軟件攻擊的威脅�。
數(shù)據(jù)服務(wù)器安全問題需要企業(yè)和組織的高度重視和積極應(yīng)對(duì)。只有通過加強(qiáng)安全措施和規(guī)范��、建立完善的數(shù)據(jù)備份和恢復(fù)機(jī)制�、深入研究和應(yīng)對(duì)勒索軟件攻擊的威脅等措施,才能降低數(shù)據(jù)服務(wù)器安全風(fēng)險(xiǎn)并確保數(shù)據(jù)的安全和完整�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
