Acceso/Intrusión

03/06/2019 50,000 servidores MS-SQL y PHPMyAdmin infectados con un rootkit

 

03 de junio de 2019

50,000 servidores MS-SQL y PHPMyAdmin infectados con un rootkit
ID: 03061901

Descripción

Investigadores del equipo de Guardicore Labs (empresa líder en seguridad interna de centros de datos y en la nube) dieron a conocer un informe detallado de una campaña de Cryptojacking bautizada como Nansh0u con sede en China con el objetivo de infectar servidores Windows MS-SQL y PHPMyAdmin en todo el mundo.

Una vez comprometido los servidores e infectados con payloads maliciosos, utilizaron un crypto-miner e instalaron un rootkit sofisticado en modo kernel para asegurar persistencia en el equipo.

Los servidores que fueron atacados pertenecen a empresas de: sanidad, telecomunicaciones, medios de comunicación y tecnologías de la información.

Productos afectados

 

  • MS-SQL
  • PHPMyAdmin

Recomendación:

Se recomienda a los administradores y usuarios utilizar contraseñas robustas, con cambios peródicos y con 2FA para minimizar los daños.

Para más información:

https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/