A medida que los actores de amenazas buscan obtener acceso a la infraestructura corporativa, recurren cada vez más a Microsoft SQL Server como su punto de entrada preferido, advierte un nuevo informe de Kaspersky.
Su investigación afirma que los ataques que utilizan Microsoft SQL Server aumentaron en más de la mitad (56 %) en septiembre de 2022 en comparación con el mismo período del año pasado, ya que solo durante ese mes, la cantidad de servidores comprometidos aumentó a más de 3000 puntos finales.
Con la excepción de julio y agosto, la cantidad de ataques de este tipo ha aumentado gradualmente durante el año pasado, agregó Kaspersky, y se mantuvo por encima de los 3000 desde abril de 2022.
defensa descuidada
“A pesar de la popularidad de Microsoft SQL Server, es posible que las empresas no le den suficiente prioridad a la protección contra las amenazas asociadas con el software. Los ataques que utilizan trabajos maliciosos de SQL Server se conocen desde hace mucho tiempo, pero los perpetradores aún los utilizan para obtener acceso a la infraestructura de una empresa”, dijo Sergey Soldatov, Jefe del Centro de Operaciones de Seguridad de Kaspersky.
Ha habido varios incidentes recientes en los que los servidores de Microsoft SQL han sido abusados por actores de amenazas, y el último se produjo hace poco más de un mes. A fines de septiembre de 2022, los investigadores de seguridad cibernética del Centro de Respuesta a Emergencias de Seguridad AhnLab informaron sobre una campaña en curso que distribuye el ransomware FARGO a servidores MS-SQL. En este incidente, los atacantes fueron a puntos finales desprotegidos (se abre en una pestaña nueva)o aquellos protegidos por contraseñas débiles y fáciles de descifrar.
En abril, por otro lado, se observó a los actores de amenazas instalando balizas Cobalt Strike en dichos dispositivos. Las noticias de ataques contra MS-SQL también aparecieron en mayo, junio y octubre de este año.
En la mayoría de los casos, los actores de amenazas escanearían Internet en busca de puntos finales con un puerto TCP 1433 abierto y luego realizarían ataques de fuerza bruta contra ellos, hasta que adivinen la contraseña.