Base de datos Microsoft SQL explotada por KingMiner Botnet para criptojacking

Equipo de seguridad cibernética Sophos descubrió una botnet llamada KingMiner, que se dirige a la cuenta de administrador del servidor en Base de datos Microsoft SQL con ataque de fuerza bruta. Después de encontrar una forma de entrar, desalojará a un minero de criptomonedas para que acuñe monedas y recompense al autor. También se descubrió que el malware también busca otras vulnerabilidades para explotar e infectar todos los demás sistemas conectados al dispositivo comprometido.

Una criptomoneda de botnet minera

Las botnets de criptomonedas son comunes, pero no están evolucionando. Aquí, los autores de KingMiner pasan tiempo de calidad en el desarrollo de malware con varias funciones para obtener más resultados. A diferencia de otras botnets que mueren después de cumplir su propósito, Sophos encontró KingMiner persiste en obtener más y más beneficios para el fabricante. Además, es la misma pandilla documentada por qihoo y Control en el pasado.

Botnet KingMiner
Botnet KingMiner

Se dice que KingMiner ataca con fuerza bruta la base de datos Microsoft SQL e invade la cuenta del administrador del servidor. Y cuando se transmite, crea otra base de datos de usuario llamada dbhelp e instala el minero de criptomonedas para aprovechar los recursos computacionales del servidor para la minería de monedas. La inspección del código reveló que los autores agregan periódicamente nuevas funciones al malware que pueden evitar que el software de seguridad y otras redes de bots interrumpan sus operaciones.

Sophos también afirmó que la botnet está explotando errores, como CVE-2017-0213 o CVE-2019-0803, que le da a KingMiner acceso de root a la cuenta de administrador e incluso se propaga a otros dispositivos conectados en la red. El equipo de ciberseguridad mencionó dos formas en las que KingMiner se está expandiendo para agregar más dispositivos a su botnet y ganar más.

Métodos de expansión

El primer método es buscar la vulnerabilidad EternalBlue, que busca un error en el Bloque de mensajes de Windows Server (SMB) para su explotación. EternalBlue es la misma vulnerabilidad que llevó a Quiero llorar y NotPetya para hacerse cargo de los sistemas en 2017. Aunque los parches han estado disponibles desde entonces, los administradores de sistemas aún no han reparado la mayoría de sus máquinas.

Y el segundo método consiste en instalar nuevas herramientas como el troyano de acceso remoto Gh0st, el descargador de contraseñas Mimikatz y el troyano de puerta trasera Gates. Pueden obtener contraseñas y establecer puertas traseras para accesos futuros. Además, incluso está buscando Vulnerabilidad de BlueKeep esto puede permitir que otras redes de bots tomen el control de su sistema. Todos estos métodos han convertido a KingMiner en una botnet sofisticada últimamente.

Bueno, como informó ZDNet, proteger los sistemas contra este ataque es simplemente establecer una contraseña segura y única para la cuenta de administrador del servidor. Debido a que el ataque de fuerza bruta adivina las contraseñas de las cuentas obtenidas de varias fuentes, es recomendable utilizar contraseñas únicas y seguras para evitar compromisos.

A través de la: ZDNet