A empresa de cibersegurança Guardicore Labs descobriu uma campanha de hackers visando violação de servidores MS-SQL de grandes empresas que vêm sido sistematicamente infectados usando acesso remoto e criptomineradores. A matéria é do portal Jornal Dia a Dia.
Segundo o texto, em dezembro de 2019 houve um pico de ataques baseados na China, com três mil servidores de bancos de dados infectados diariamente. As vítimas tinham endereços na China, índia, Estados Unidos, Coréia do Sil e Turquia, em setores como saúde, aviação, TI, telecomunicações e educação superior.
Foram identificados 120 endereços IP como origem dos ataques, a maioria na China, mas os especialistas dizem que provavelmente essas são máquinas comprometidas, redirecionadas para infectar novas vítimas. A maioria das vítimas permanece infectada por um curto período de tempo.
A campanha identificada teria origem em maio de 2019, "usando orça bruta de senhas para violar máquinas, implantando backdoors e executando módulos maliciosos, como RATs (multifuncional remote access tools) e criptomineradores. A Guardicore chamou esta campanha Vollgar, que deriva da combinação do nome criptomoeda Vollar, extraída por esses ataques, de seu comportamento vulgar."
No relatório da empresa, Phir Harpaz, responsável pelo documento, escreve:
“Manter servidores MS-SQL desprotegidos dos perigos da Internet certamente não corresponde às melhores práticas de segurança. E é o que explica o fato de uma campanha como essa conseguir infectar diariamente cerca de três mil servidores de bancos de dados"
Finalmente, a matéria recomenda como proteção: não expor servidores de bancos de dados na internet, bloquear as comunicações de saída com servidores CNC e isolamento das máquinas infectadas do resto do sistema.
LEIA MAIS: Empresa de TI ajuda profissionais de saúde a combater ransomware de criptomoeda em meio ao coronavírus
LEIA MAIS: Hackers roubam e publicam dados médicos de pesquisas sobre o coronavírus