16/12/2024

Actu Cybersécurité

Des instances SQL Server compromises pour déployer le ransomware Trigona

Une fois de plus, les serveurs SQL Server exposés sur Internet sont pris pour cible par les cybercriminels. Cette fois-ci, l'objectif est de déployer le ransomware Trigona et de chiffrer tous les fichiers de la machine compromise. Faisons le point.

D'après les chercheurs en sécurité de l'entreprise AhnLab qui ont mis en lumière cette campagne d'attaques, les cybercriminels du gang de ransomware Trigona scannent Internet à la recherche de serveurs SQL Server accessible à distance. Sur les serveurs identifiés, ils peuvent ensuite effectuer une attaque par brute force (notamment à l'aide d'un dictionnaire de mots de passe). Si l'administrateur n'a pas défini un mot de passe suffisamment complexe et que son serveur n'est pas correctement protégé (avec une instance CrowdSec, par exemple), il peut être compromis par les pirates.

Lorsque les pirates obtiennent un accès sur le serveur SQL Server, il déploie un malware surnommé CLR Shell par l'entreprise AhnLab. Ce malware est utilisé pour effectuer une élévation de privilèges sur le serveur, notamment en exploitant une faille de sécurité dans Windows Secondary Logon Service (CVE-2016-0099). Lorsque le malware dispose des droits SYSTEM sur le serveur, il télécharge et exécute le ransomware en tant que processus svchost.exe. Le chiffrement des données est effectué (extension  ._locked) et certaines données sont exfiltrées.

Pour rendre l'opération de récupération plus difficile, le logiciel malveillant supprime les points de restauration et les éventuels clichés instantanés du serveur. Bien entendu, une note de rançon est déposée par le ransomware Trigona pour donner les instructions à la victime. Actif depuis au moins octobre 2022, ce gang accepte uniquement les paiements via la cryptomonnaie Monero.

Bien que cette menace soit réelle, pour en être victime, il faut disposer d'un serveur SQL Server exposé sur Internet, avec un compte pas suffisamment protégé et un serveur qui n'est pas à jour. Quoi qu'il en soit, le ransomware Trigona est très actif puisqu'il y a eu au moins 190 soumissions à la plateforme ID Ransomware depuis le début de l'année 2023.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.