Взломщики брутфорсят серверы MS SQL для внедрения шифровальщика FreeWorld

Татьяна Никитина 04 Сентября 2023 - 13:34

Малый и средний бизнес

Корпорации

Windows

Программы-вымогатели

Программы-шифровальщики

Брутфорс

...

По данным Securonix, в текущих атаках используется множество различных инструментов, в том числе RAT и Cobalt Strike. Первичный доступ к корпоративным сетям осуществляется через брутфорс MS SQL, конечной целью является засев шифровальщика.

Выявленной киберкампании было присвоено имя DB#JAMMER, новому Windows-зловреду — FreeWorld (по имени бинарных файлов и расширению, добавляемому к зашифрованным файлам). Сам шифровальщик, как показал анализ, является модификацией Mimic, объявившейся в прошлом году.

Каким образом осуществляется подбор пароля к SQL-серверу, перебором по словарю или подстановкой по методу password spray, установить не удалось. Обнаружив включенную опцию xp_cmdshell, авторы атаки используют ее для поиска данных о хосте, выполнения шелл-команд для ослабления защиты и развертывания инструментов, гарантирующих постоянное присутствие.

В частности, непрошеные гости отключают межсетевой экран Windows, создают новый админ-аккаунт, вносят изменения в системный реестр. Дополнительные инструменты, в том числе для горизонтального перемещения по сети, скачиваются из общей папки, специально созданной на удаленном SMB-сервере.

Боевой арсенал злоумышленников включает C2-агент Cobalt Strike (srv.exe), AnyDesk, сканер сетевых портов и Mimikatz, с помощью которого осуществляется кража учетных данных. В ходе DB#JAMMER была также замечена попытка использования Ngrok с целью установить RDP-соединение, но она оказалась безуспешной.

Кто стоит за FreeWorld, неизвестно. Брутфорс MS SQL в настоящее время использует как минимум еще одна группа вымогателей — операторы Mallox.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 12:29

Уязвимости программ Домашние пользователи

Количество уязвимостей в банковских приложениях за год выросло в 10 раз

По данным исследования AppSec Solutions, посвящённого анализу 90 приложений компаний финансового сектора — банков, микрофинансовых организаций и страховых компаний, — количество критических уязвимостей в них за год выросло в 10 раз. Об этом сообщили специалисты AppSec Solutions.

Всего в ходе анализа было выявлено 3 555 уязвимостей, из которых 2 006 отнесены к высоким или критическим. Для сравнения: в 2023 году исследователи обнаружили около 4 500 уязвимостей, однако критический статус тогда получили лишь 183 из них.

Как отметил руководитель отдела анализа защищённости мобильных приложений AppSec Solutions Никита Пинаев, одной из самых распространённых проблем остаётся наличие критически важной информации прямо в коде. Это создаёт условия для перехвата конфиденциальных данных, включая банковские реквизиты и личную информацию пользователей.

При этом мобильные приложения финансовых компаний, как подчёркивают исследователи, остаются абсолютными лидерами по числу опасных уязвимостей.

По данным исследования Роскачества и ГК «Солар», ошибки и уязвимости обнаруживаются в каждом втором мобильном приложении. В основном такие проблемы создают риск перехвата пользовательских данных и реализации сценария «человек посередине». Наиболее проблемными тогда оказались приложения онлайн-аптек и сервисов доставки.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!