RE#TURGENCE támadási kampány
A Securonix Threat Research csapata egy folyamatban lévő kampányt figyelt, amely RE#TURGENCE -nek neveztek el és magában foglalja az MSSQL adatbázis-kiszolgálók célzását és kihasználását a kezdeti hozzáférés megszerzése érdekében. Úgy tűnik, hogy a fenyegetés szereplői az Egyesült Államok, az EU és a LATAM-országokat veszik célba, és pénzügyileg motiváltak.
Úgy tűnik, hogy az elemzett fenyegetéskampány kétféleképpen végződik: vagy a feltört gazdagéphez való hozzáférés értékesítésével, vagy a zsarolóprogramok használatával. Az események körülbelül egy hónap zajlottak le, a MIMIC ransomware áldozati tartományon történő telepítésétől számítva.
A kampány kezdeti hozzáférési része hasonló a DB#JAMMER-hez, amelyről tavaly írtak, és amely szintén közvetlen MSSQL-elérést jelentett adminisztrátori jelszavakon keresztül.
A Securonix szerint a fenyegetés szereplői elkövetettek egy működési biztonsági (OPSEC) hibát, amely lehetővé tette számára a vágólap tevékenységének megfigyelését, mivel az AnyDesk vágólap-megosztási funkciója engedélyezve volt. Ez lehetővé tette a török származásuk és az atseverse online álnevük kiderítését, ami egyben a Steam profiljának és a SpyHack nevű török hackerfórumnak is megfelel.
Mindig tartózkodjon attól, hogy a kritikus szervereket közvetlenül az internethez csatlakozzon. – figyelmeztettek a kutatók. A RE#TURGENCE esetében a támadók közvetlenül a fő hálózaton kívülről tudtak brute force segítségével bejutni a szerverbe.