Pesquisadores identificaram uma nova campanha maliciosa onde atores de ameaças estão explorando servidores Microsoft SQL desprotegidos para disseminar uma variante de ransomware denominada FreeWorld.

A campanha foi nomeada pelos especialistas como DB#JAMMER. A estratégia inicial dos atacantes consiste em obter acesso aos servidores-alvo através de técnicas de força bruta.

Uma vez que conseguem explorar o servidor, iniciam um processo de enumeração do banco de dados, além de executar comandos que comprometem o firewall do sistema.

Com o firewall comprometido, os atacantes conseguem estabelecer uma persistência no servidor. Posteriormente, estabelecem uma conexão com um compartilhamento SMB remoto, permitindo a transferência de arquivos maliciosos e ferramentas, incluindo o conhecido Cobalt Strike.

O ransomware FreeWorld, segundo análises, parece ser uma variante do ransomware Mimic. Ambos utilizam um aplicativo legítimo chamado Everything.exe para identificar e localizar arquivos que serão criptografados.

Uma vez ativado, o FreeWorld criptografa os arquivos do servidor e adiciona a extensão, FreeWorldEncryption a cada arquivo comprometido. Como parte de sua operação, o ransomware também cria um arquivo de texto, nomeado ‘FreeWorld-Contact.txt’, que contém instruções para o pagamento do resgate.

Ransomware FreeWorld explora Servidores Microsoft SQL vulneráveis

Agências de inteligência ocidentais expõem Malware Russo visando forças armadas da Ucrânia

Escolas na Pensilvânia são vítimas de ataques de Ransomware

Atores de Ameaça Buscam Acesso a Contas de Super Administrador da Okta

Hackers Norte-Coreanos lançam novos pacotes Python Maliciosos

Malware de Código Aberto SapphireStealer Ameaça Segurança de Empresas

Detalhes pessoais desmascaram membro principal do grupo Trickbot

Atores maliciosos exploram Windows Container Isolation Framework

GitHub Enterprise Server obtém novos recursos de segurança

VMware corrige vulnerabilidades críticas no Aria Operations