Resumen: Los actores de la amenaza están ganando mucho dinero convirtiendo los servidores MS SQL en una especie de proxyware.
El proxyware es un servicio que utiliza una parte del ancho de banda de Internet disponible en un dispositivo para actuar como un servidor proxy.
Su ejecución le permite a terceros acceder a la conexión de manera remota para llevar a cabo diversas tareas, incluyendo pruebas, recopilación de información, distribución de programas, entre otras cosas.
Una práctica muy popular entre los ciberdelincuentes, consiste en comprometer los servidores de las empresas para luego alquilarlos como servicios de proxy en línea.
De acuerdo con los investigadores de Ahnlab, han surgido diversas campañas que instalan el proxyware y ganan dinero del ancho de banda de la red de sus víctimas.
Primero, los atacantes llevan a cabo la instalación de servicios como Peer2Profit e IPRoyal a través de alguna cepa de malware. Más adelante, el malware comprueba si el cliente proxy se ejecuta en el host. En dado caso de que no, el malware hace uso de la función "p2p_start()" para lanzarlo.
Una vez que el proxyware se instala en el dispositivo, el software lo añade como un proxy que los usuarios remotos pueden utilizar para realizar cualquier tarea que deseen, a través de Internet.
Este tipo de servicios puede resultar muy atractivo para los ciberdelincuentes, dado que les permite llevar a cabo actividades ilegales sin que las víctimas se den cuenta.
Actualmente, los operadores de malware tienen como objetivo principal los servidores MS SQL, porque se ubican en redes corporativas con mucho ancho de banda con acceso a internet.
A mayor ancho de banda, será mucho más probable que los servicios de proxyware pasen desapercibidos durante largos períodos de tiempo.
Si bien en algunos casos los servicios de proxy pueden resultar útiles para las empresas, los proveedores deben tomar en cuenta que corren el riesgo de que sus herramientas sean aprovechadas para llevar a cabo tareas maliciosas.
Por el momento, se le insta a todas las empresas a instalar soluciones antivirus de confianza en sus dispositivos con acceso a internet.
Recomendaciones: Medidas para prevenir este tipo de ataques Mantener los dispositivos con acceso a internet parcheados y actualizados Contar con un firewall confiable y actualizado Evitar la descarga de archivos de fuentes sospechosas Referencias: https://cyber-reports.com/2022/07/28/ms-sql-servers-hacked-to-steal-bandwidth-with-proxyware/ |
SÍGUENOS