Microsoft SQL servers hacked to deploy Trigona ransomware
ผู้โจมตีกำลังแฮ็กเข้าไปในเซิร์ฟเวอร์ Microsoft SQL (MS-SQL) ที่มีความปลอดภัยต่ำเพื่อปรับใช้ Payloads ของ Trigona ransomware และเข้ารหัสไฟล์ทั้งหมด เซิร์ฟเวอร์ MS-SQL ถูกเจาะผ่านการโจมตีแบบ brute-force ที่ใช้ประโยชน์จากรหัสผ่านของบัญชีที่คาดเดาได้ง่าย โดยนักวิจัยด้านความปลอดภัยจาก AhnLab ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้รายงานว่า หลังจากเชื่อมต่อกับเซิร์ฟเวอร์แล้ว ผู้โจมตีจะติดตั้งมัลแวร์ที่เรียกว่า CLR Shell
มัลแวร์ตัวนี้ใช้สำหรับรวบรวมข้อมูลระบบ เปลี่ยนแปลงการกำหนดค่าบัญชีที่ถูกบุกรุก และเพิ่มสิทธิ์ไปยัง LocalSystem โดยใช้ประโยชน์จากช่องโหว่ใน Windows Secondary Logon Service ซึ่งจำเป็นสำหรับการเรียกใช้ ransomware as a service นอกจากนี้มัลแวร์ CLR Shell ยังเป็นมัลแวร์ Assembly CLR ประเภทหนึ่งที่รับคำสั่งจากผู้โจมตีและมีความคล้ายกับ WebShells ของเว็บเซิร์ฟเวอร์ ในขั้นตอนต่อไปผู้โจมตีจะติดตั้งและเริ่มใช้งานตัวมัลแวร์เป็นบริการ svcservice.exe ซึ่งพวกเขาใช้เพื่อเริ่มการทำงานของ Trigona ransomware ในชื่อ svchost.exe
ผู้โจมตียังกำหนดค่าไบนารีของแรนซัมแวร์ให้เปิดใช้งานโดยอัตโนมัติในการรีสตาร์ทระบบแต่ละครั้งผ่านคีย์การทำงานอัตโนมัติของ Windows เพื่อให้แน่ใจว่าระบบจะได้รับการเข้ารหัสแม้หลังจากรีบูต ก่อนที่จะเข้ารหัสระบบและปรับใช้บันทึกเรียกค่าไถ่ มัลแวร์จะปิดใช้งานการกู้คืนระบบและลบสำเนา Windows Volume Shadow ทำให้การกู้คืนเป็นไปไม่ได้หากไม่มีคีย์ถอดรหัส
https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-deploy-trigona-ransomware/