Servidores Microsoft SQL para la instalación de la criptomoneda Miner

El ala de ciberseguridad de Tencent descubrió una nueva banda de malware llamada MrbMiner, que están secuestrando servidores Microsoft SQL para instalar un minero de criptomonedas. Se rastrea a la banda de malware para verificar al autor y se encuentraotros dos programas maliciosos diseñados para atacar servidores Linux y sistemas basados ​​en ARM.

Ataques de fuerza bruta en servidores Microsoft SQL

Los piratas informáticos nunca dejaron la oportunidad de permitirles ingresar a otros sistemas. Uno de los tipos comunes de penetración en los sistemas de alguien es fuerza bruta la página de inicio de sesión. Esto incluye dirigir una cuenta con credenciales débiles o fáciles de adivinar con un conjunto de credenciales antiguas con las que se pueda identificar para obtener acceso.

Un incidente si esto es descubierto por el ala de ciberseguridad de Tencent, e informado a principios de este mes. Llamaron al grupo de malware detectado como MrbMiner, después de encontrar un dominio que están usando para alojar su malware. Empiezan a buscar en internet Servidores Microsoft SQL, y ataque de fuerza bruta a cuentas débiles para obtener acceso no autorizado.

Después de obtener acceso, instalan un assm.exe archivo para definir una cuenta de puerta trasera para el acceso futuro y también para obtener la persistencia del reinicio. Los investigadores de Tencent dijeron que la cuenta que la banda de malware intentó secuestrar tiene credenciales «Estándar«Como nombre de usuario y»@ fg125kjnhn98”Como contraseña. El siguiente y último paso es la instalación de un El minero de criptomonedas Monero, que proviene del C2 del hacker.

Los investigadores rastrearon el malware hasta el C2 del hacker y encontraron otras dos variantes de este malware diseñadas para piratear servidores Linux y sistemas basados ​​en ARM. Aunque aún no se sabe más sobre esto, los investigadores dijeron que la billetera de criptomonedas vinculada a los servidores Linux tiene aproximadamente 3.38 XMR, lo que sugiere que ya está en funcionamiento.

Además, la billetera Monero vinculada a los servidores SQL de Microsoft tiene alrededor de 7 XMR. Aunque puedan parecer pequeñas, hay que asumir que los piratas informáticos tendrían varias carteras vinculadas a su malware para obtener las monedas acuñadas, que podrían ser más grandes si se suman.