探索网络安全新技术
攀登黑客技术最高峰

微软SQLServer遭黑客攻击 数据库文件遭加密勒索

最近,微软 SQL Server 遭到黑客攻击,攻击者利用了该服务器的安全漏洞,并使用已知的账户凭据进行暴力攻击,成功进入服务器并安装了 Trigona 勒索软件。该攻击被韩国网络安全公司 AhnLab 的安全研究人员发现。

攻击者使用一种名为 CLR Shell 的恶意软件,该软件专门用于收集系统信息,并可以修改被入侵的账户配置。此外,该软件还可以利用 Windows 辅助登录服务中的漏洞将特权升级到 LocalSystem,但需要启动勒索软件才能完成此操作。据 AhnLab 表示,CLR Shell 是一种 CLR 汇编恶意软件,该软件在接收入侵者的命令后可直接执行恶意入侵行为,其运行模式类似于 web 服务器的 webshell。

在下一阶段,攻击者会安装一个恶意软件 dropper,用于服务 svcservice.exe,并启动 Trigona 勒索软件,作为 svchost.exe。此外,他们还会配置勒索软件二进制文件。在每次系统重新启动时,通过 Windows 自动运行密钥自动启动,以确保系统在重新启动后仍处于被加密的状态。

在攻击者得到赎金之前,该恶意软件会禁用系统针对 Windows 卷影副本进行恢复、删除等相关操作,因此要想恢复系统必须拥有解密密钥。这次攻击强调了企业需要加强对其 SQL 服务器的安全措施,以防止未来的攻击。

微软SQLServer遭黑客攻击 数据库文件遭加密勒索-威武网安

据MalwareHunterTeam于2022年10月首次发现,Trigona勒索软件是一种新型的加密勒索软件。该软件只接受门罗币加密货币作为赎金。

Trigona勒索软件会加密受害者设备上的所有文件,包括Windows和Program Files目录中的文件,但会排除特定文件夹中的文件。该软件会通过添加“._locked”为文件扩展名来重命名加密文件,并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前,该团伙声称已经窃取了一些敏感文件,并表示这些文件将被放到暗网上。

此外,该软件还会创建名为“how_to_decrypt”的赎金笔记,包含入侵系统的信息,如Trigona Tor协商网站的访问链接,以及包含登录协商网站所需的授权密钥。Trigona勒索软件还会阻止系统针对 Windows 卷影副本进行恢复、删除等相关操作。

这次攻击事件强调了企业需要提高其数据库安全性,以防止未来的攻击。同时,也提醒企业在备份数据时要格外小心,以避免数据被窃取或加密。企业应该及时更新其安全措施,并保持警惕,以保护其数据库和敏感数据。

自今年年初以来,Trigona勒索软件团伙已经发起了多次攻击事件。根据ID勒索软件平台的统计,仅向该平台发起的攻击事件就已经达到至少190起,涉及的受害者包括大型企业和政府机构。

Trigona勒索软件团伙使用了多种攻击手段,包括利用漏洞、社会工程学攻击和暴力攻击等方式,来获取受害者的凭证和入侵其系统。一旦成功入侵,该团伙会立即加密受害者的数据,并发布赎金要求。

这些攻击事件不仅对受害者造成了巨大的经济损失,还对其业务运营和声誉造成了重大影响。因此,企业和政府机构需要不断提高其网络安全水平,加强对数据库和关键数据的保护,并采取多种防御措施,如定期备份数据、加强网络安全监控和强化员工安全意识等,以避免成为Trigona勒索软件团伙的下一个目标。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《微软SQLServer遭黑客攻击 数据库文件遭加密勒索》
文章链接:https://www.wevul.com/534.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册