Nowy raport firmy Kaspersky ostrzega, że gdy ugrupowania zagrażające chcą uzyskać dostęp do infrastruktury przedsiębiorstwa, coraz częściej wybierają Microsoft SQL Server jako preferowany punkt wejścia.
Z ich badań wynika, że ataki z wykorzystaniem Microsoft SQL Server wzrosły o ponad połowę (56%) we wrześniu 2022 r. w porównaniu z tym samym okresem ubiegłego roku, ponieważ tylko w tym miesiącu liczba zhakowanych serwerów osiągnęła ponad 3.000 terminali.
Kaspersky dodał, że z wyjątkiem lipca i sierpnia liczba takich ataków stale rosła w ciągu ostatniego roku i od kwietnia 3.000 r. utrzymuje się na poziomie powyżej 2022.
niechlujna obrona
„Pomimo popularności Microsoft SQL Server organizacje mogą nie przywiązywać wystarczającej wagi do ochrony przed zagrożeniami związanymi z oprogramowaniem. Ataki wykorzystujące złośliwe zadania SQL Server są znane od dawna, ale sprawcy nadal wykorzystują je, aby uzyskać dostęp do infrastruktury firmy” – powiedział Siergiej Sołdatow, dyrektor Centrum Operacji Bezpieczeństwa w Kaspersky.
Ostatnio miało miejsce kilka incydentów, w których serwery Microsoft SQL zostały nadużyte przez podmioty zagrażające, przy czym ostatni miał miejsce nieco ponad miesiąc temu. Pod koniec września 2022 r. badacze cyberbezpieczeństwa w Centrum reagowania kryzysowego AhnLab Security zgłosili trwającą kampanię mającą na celu dystrybucję oprogramowania ransomware FARGO na serwery MS-SQL. W tym incydencie napastnicy wybrali punkty końcowe, które były albo niezabezpieczone (otwiera się w nowej karcie), albo chronione słabymi, łatwymi do złamania hasłami.
Jednak w kwietniu zaobserwowano, że ugrupowania zagrażające instalowały na takich urządzeniach sygnalizatory Cobalt Strike. Wiadomości o atakach na MS-SQL pojawiły się także w maju, czerwcu i październiku tego roku.
W większości przypadków hakerzy skanują Internet w poszukiwaniu punktów końcowych za pomocą otwartego portu TCP 1433, a następnie przeprowadzają przeciwko nim ataki brute-force, dopóki nie odgadną hasła.