Τούρκοι χάκερ έβαλαν στο στόχαστρό τους βάσεις δεδομένων στις Ηνωμένες Πολιτείες, την Ευρωπαϊκή Ένωση και τη Λατινική Αμερική με το ransomware Mimic, σύμφωνα με νέα έρευνα της εταιρείας κυβερνοασφάλειας Securonix.
Ο Oleg Kolesnikov, αντιπρόεδρος έρευνας απειλών, είπε στο Recorded Future News ότι αυτό που ξεχώρισε περισσότερο στην εκστρατεία ήταν ότι οι χάκερ προσάρμοσαν τις επιθέσεις τους για κάθε θύμα πολύ περισσότερο από αυτό που παρατηρείται συνήθως.
“Από τις τελευταίες μας παρατηρήσεις, αυτή φαίνεται να είναι μια εκστρατεία με οικονομικά κίνητρα, σε εξέλιξη”, είπε ο Kolesnikov. “Οι εισβολείς φαίνεται να χρησιμοποιούν μια πιο στοχευμένη προσέγγιση όσον αφορά την απόκτηση αρχικής πρόσβασης σε σύγκριση με ορισμένους από τους άλλους κακόβουλους παράγοντες απειλών”.
Η Securonix, η οποία ονόμασε την καμπάνια “RE#TURGENCE”, είπε ότι οι χάκερ είτε πωλούν την πρόσβαση που αποκτούν είτε αναπτύσσουν ransomware στον παραβιασμένο κεντρικό υπολογιστή.
Οι ερευνητές ανακάλυψαν την εκστρατεία επιθέσεων αφότου οι χάκερ έκαναν λάθος αποκαλύπτοντας σημαντικά μέρη των επικοινωνιών τους, των διαπραγματεύσεων και πολλά άλλα.
Οι χάκερ έβαλαν στον στόχο συγκεκριμένα το Microsoft SQL (MSSQL) – ένα δημοφιλές προϊόν λογισμικού που βοηθά τους χρήστες να αποθηκεύουν και να ανακτούν δεδομένα που ζητούνται από εφαρμογές. Η έκδοση της Microsoft είναι ένας από τους πολλούς διαχειριστές βάσεων δεδομένων που χρησιμοποιεί SQL.
Μόλις αποκτήσουν πρόσβαση, προσπαθούν να χαρτογραφήσουν το σύστημα-θύμα και να βλάψουν τις άμυνές του για να επιβεβαιώσουν τον έλεγχό τους. Συνήθως περνούν περίπου ένα μήνα σε ένα σύστημα-θύμα πριν αναπτύξουν το ransomware Mimic.
Το Mimic βρέθηκε στο επίκεντρο νωρίτερα φέτος από τους ερευνητές της TrendMicro, αφού εθεάθη για πρώτη φορά τον Ιούνιο του 2022.
Στοχεύει ρωσόφωνους και αγγλόφωνους χρήστες και η TrendMicro είπε ότι υπάρχουν ενδείξεις που το συνδέουν με το πρόγραμμα δημιουργίας ransomware Conti που διέρρευσε πέρυσι.
Η Securonix προειδοποίησε ότι οι εταιρείες θα πρέπει “πάντα να απέχουν από την έκθεση κρίσιμων διακομιστών απευθείας στο διαδίκτυο”.