O Guardicore Labs descobriu e vem mantendo em seu radar há quase dois anos a campanha Vollgar de violação de servidores MS-SQL expostos à Internet, infectando-os com ferramentas de acesso remoto e criptomineradores. Os países mais visados são China, Índia, Estados Unidos, Coreia do Sul e Turquia. E as vítimas desse ataque são empresas de diferentes setores, incluindo saúde, aviação, TI, telecomunicações e ensino superior.
Um pico no número de incidentes em dezembro do ano passado levou o Guardicore Labs a acompanhar de perto a campanha – originada na China – e seu impacto, constatando cerca de três mil servidores de bancos de dados infectados diariamente.
Desde maio de 2018, a campanha usa força bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores. A Guardicore chamou esta campanha Vollgar, que deriva da combinação do nome criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar.
Ophir Harpaz, que assina o relatório da Guardicore sobre o Vollgar, comenta que “manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados”.
Os ataques utilizaram mais de 120 endereços IP, a grande maioria dos quais na China – provavelmente máquinas comprometidas, redirecionadas para infectar novas vítimas. Em relação ao período de infecção, a maioria (60%) das máquinas atingidas permanece infectada por apenas um curto período de tempo. No entanto, quase 20% dos servidores violados mantiveram a infecção por mais de uma ou duas semanas.
Isso mostra o sucesso do ataque, capaz de ocultar seu rastro e contornar mitigações como antivírus e EDR (Endpoint Detection and Response). Ophir Harpaz observa que embora existam apenas cerca de meio milhão de servidores MS-SQL, há um grande número de ataques dirigidos a eles. Esses servidores de banco de dados são atraentes para os invasores principalmente pelos dados que contêm, relacionados a informações pessoais, como nomes de usuário, senhas, números de cartão de crédito, etc.
Algumas medidas para evitar essas invasões são:
1- Não expor servidores de banco de dados à Internet. Eles precisam estar acessíveis apenas em máquinas da organização protegidas por políticas de segmentação, com acesso limitado de usuários, e com identidade verificada a cada tentativa de acesso.
2- A maioria das campanhas de ataque, incluindo Vollgar, envolve comunicação de rede com servidores CNC. As comunicações de saída para esses destinos podem e devem ser bloqueadas.
3- As máquinas infectadas devem ser colocadas imediatamente em quarentena, sem acesso a outros ativos na rede. Também é importante alterar todas as senhas da sua conta de usuário MS-SQL para senhas fortes.
Para verificar se sua máquina Windows foi infectada, o Guardicore Labs fornece um script Powershell de código-fonte aberto que você pode encontrar aqui.
