שרתי Microsoft SQL (MSSQL) בעלי חולשות אבטחה הפכו ליעד מועדף עבור קבוצות רבות של פושעי סייבר, לרבות כנופיות כופרה. בשורת מתקפות סייבר שקיבלו את השם DB#JAMMER השתמשו פושעי סייבר במתקפות Brute Force כדי לפרוץ לשרתי MSSQL, לפרוס את Cobalt Strike וכן גרסה של כופרת Mimic בשם FreeWorld.
"אחד הדברים שהופכים את DB#JAMMER לבולט הוא האופן שבו נעשה שימוש בתשתית הכלים של פושעי הסייבר", אמרו חוקרי סייבר מחברת האבטחה Securonix וציינו כי "חלק מהכלים הללו כוללים תוכנות ספירה, מטעני RAT, נוזקות גניבת אישורים וכן כופרות." פושעי הסייבר משתמשים בטכניקות של Brute Force כדי לנחש אישורים עבור שרתי ה- MSSQL אשר במוקד המתקפה, אך לא ברור אם הדבר כלל ניסיונות ריסוס מבוססי מילון או ניחוש סיסמאות. האחרון כרוך בדרך כלל בשילובי שם משתמש וסיסמא המתקבלים מהדלפות אחרות של מסדי נתונים.
לאחר השגת גישה ראשונית חוקרים פושעי הסייבר את מסד הנתונים על ידי ספירת כל המשתמשים בעלי גישה אליו ובודקים אם מופעלת פונקציה בשם xp_cmdshell. הצהרת Transact-SQL זו מאפשרת למשתמשי מסד הנתונים לבצע פקודות מעטפת ב- Windows ולהחזיר את הפלט כטקסט. פושעי הסייבר ממנפים את xp_cmdshell באופן נרחב, תחילה כדי לאסוף מידע על המערכת וסביבת הרשת על ידי הפעלת כלי Windows כמו wmic.exe, net.exe ו- ipconfig.exe ולאחר מכן, כדי לבצע שינויים בחשבונות Windows וברישום המערכת. "שלושה משתמשים חדשים נוצרו במארח הקורבן הכוללים windows, adminv$ ו- mediaadmin$", אמרו חוקרי Securonix וציינו כי "כל משתמש נוסף לקבוצות משתמשי שולחן עבודה מרוחק ומנהלי המערכת." כמו כן, בוצעו שינויים נוספים במשתמשים החדשים כך שהסיסמאות שלהם לעולם לא תפוגנה. השינויים ברישום היו נרחבים וכללו הפעלת שירות Remote Desktop Protocol – RDP, השבתת הגבלות בקרת גישה למשתמשים והסתרת משתמשים המחוברים מרחוק ממסך הכניסה המקומי.
המטרה הייתה לספק לפושעי הסייבר את היכולת לשלוט מרחוק במערכת באמצעות שיטה אמינה וקשה יותר לזיהוי מאשר פקודות xp_cmdshell של מסד נתונים. עם זאת, בעיה אחת שהם נתקלו בה הייתה שחיבורי RDP נכנסים נחסמו על ידי חומת האש של הרשת. על מנת להגבר על כך ניסו פושעי הסייבר לפרוס פתרון פרוקסי הפוך ומנהור בשם Ngrok. פושעי הסייבר גם הגדירו שיתוף SMB מרוחק לשרת שבשליטתם כדי לעלות באופן מקומי ספרייה שהכילה רבים מהכלים והמטענים שלהם, כולל סוכן פקודה ושליטה של Cobalt Strike שנשמר כ- srv.exe וגרסה של תוכנת שולחן העבודה המרוחק AnyDesk. סורק יציאות רשת וכלי השלכת אישורי Mimikatz נפרסו גם הם כדי לנסות תנועה לרוחב במערכות מחשוב אחרות ברשת.
לבסוף, כאשר השיגו פושעי הסייבר שליטה מלאה, הם פרסו קובץ בשם 5000.exe עבור כופרה שהם מכנים בשם FreeWorld, אך למעשה מדובר בגרסה חדשה יותר של הכופרה הידועה Mimic. גם Mimic וגם FreeWorld משתמשים באפליקציה נלווית בשם Everything.exe המשמשת לאיתור קבצים להצפנה. הקבצים המוצפנים מאוחסנים עם סיומת FreeWorldEncryption והכופרה מוסיפה קובץ בשם FreeWorld-Contact.txt המכיל הוראות כיצד לשלם את הכופר.
על פי Trustwave – חברת אבטחת סייבר, MSSQL היא ללא ספק מערכת ניהול מסדי נתונים הממוקדת ביותר למתקפות סייבר ורוב המתקפות משתמשות בטכניקות ניחוש סיסמאות באמצעות Brute Force. משמעות הדבר היא שסיסמאות ייחודיות ומורכבות עבור מסדי נתונים של MSSQL החשופים לאינטרנט היא קריטית. כפי שהודגש גם במתקפה זו, הליך xp_cmdshell עלול להוות סיכון רציני ויש להגביל אותו במערכות המחשוב ככל האפשר. בלעדיו, היה לפושעי הסייבר הרבה יותר קשה להשיג ביצוע קוד מרחוק במערכות.
חוקרי Securonix ממליצים גם להשתמש במנהרות VPN במידת האפשר כדי לגשת לשרתי MSSQL במקום לחשוף אותם ישירות לאינטרנט, לנטר ספריות נפוצות של פריסת נוזקות כמו C:\Windows\Temp ולפרוס רישום ברמת התהליך כמו רישום Sysmon ו- PowerShell.
