Pesquisadores identificaram uma nova campanha maliciosa onde atores de ameaças estão explorando servidores Microsoft SQL desprotegidos para disseminar uma variante de ransomware denominada FreeWorld.

A campanha foi nomeada pelos especialistas como DB#JAMMER. A estratégia inicial dos atacantes consiste em obter acesso aos servidores-alvo através de técnicas de força bruta.

Uma vez que conseguem explorar o servidor, iniciam um processo de enumeração do banco de dados, além de executar comandos que comprometem o firewall do sistema.

Com o firewall comprometido, os atacantes conseguem estabelecer uma persistência no servidor. Posteriormente, estabelecem uma conexão com um compartilhamento SMB remoto, permitindo a transferência de arquivos maliciosos e ferramentas, incluindo o conhecido Cobalt Strike.

O ransomware FreeWorld, segundo análises, parece ser uma variante do ransomware Mimic. Ambos utilizam um aplicativo legítimo chamado Everything.exe para identificar e localizar arquivos que serão criptografados.

Uma vez ativado, o FreeWorld criptografa os arquivos do servidor e adiciona a extensão, FreeWorldEncryption a cada arquivo comprometido. Como parte de sua operação, o ransomware também cria um arquivo de texto, nomeado ‘FreeWorld-Contact.txt’, que contém instruções para o pagamento do resgate.