Ваш сервер заговорил по-турецки и шлет эмодзи – первые признаки того, что все данные уже украли
Что случается, когда Larva-26002 находит MS-SQL со слабым паролем.
Один и тот же злоумышленник уже третий год подряд возвращается к плохо защищённым серверам баз данных. В 2026 году группа Larva-26002 снова взялась за MS-SQL и, похоже, не собирается останавливаться. Специалисты AhnLab подтвердили, что атакующий продолжает искать серверы с простыми паролями и открытым доступом из интернета. Ранее Larva-26002 распространяла шифровальщики Trigona и Mimic, а теперь делает ставку на скрытую подготовку новых атак.
Схема остаётся знакомой. Злоумышленник подбирает пароль к учётной записи, подключается к серверу и собирает базовую информацию о системе. Затем использует встроенную утилиту массового копирования данных BCP, чтобы незаметно выгрузить вредоносный файл прямо из базы данных на диск. Такой подход позволяет обойти часть защитных механизмов, поскольку задействуются легитимные инструменты.
В предыдущих атаках злоумышленник устанавливал программы удалённого доступа вроде AnyDesk и системы контроля сотрудников Teramind. В 2026 году акцент сместился. Вместо старых инструментов используется новое вредоносное ПО под названием ICE Cloud. Файл, который сначала попадает на сервер, выступает загрузчиком. После запуска он связывается с управляющим сервером и скачивает основной модуль ICE Cloud Client. Программа написана на языке Go и маскируется под обычное приложение, получая случайное имя.
ICE Cloud выполняет сразу две задачи. С одной стороны, программа сканирует другие MS-SQL серверы, с другой – пытается подобрать к ним пароли. Управляющий сервер передаёт список целей и стандартные учётные данные вроде ecomm/ecomm. Если вход удаётся, результат отправляется обратно злоумышленнику.
Примечательно то, что внутри программы нашли строки на турецком языке и даже эмодзи. Похожие признаки уже встречались в атаках с использованием Mimic, что указывает на связь с прежними кампаниями. Если утилиту BCP использовать не удаётся, злоумышленник скачивает вредоносный файл напрямую через curl, bitsadmin или PowerShell. Такой запасной вариант позволяет не зависеть от настроек сервера.
Атаки Larva-26002 по-прежнему строятся на простой идее: найти сервер с лёгким паролем и воспользоваться этим. Поэтому защита тоже выглядит предсказуемо. Сложные пароли, регулярная их смена и ограничение доступа к серверу из интернета резко снижают риск взлома. Без таких мер заражение может повторяться снова и снова, поскольку злоумышленник возвращается к тем же уязвимым системам.