El número de ataques con Microsoft SQL Server aumentaron durante 2022

Ataques con Microsoft SQL Server

Microsoft SQL Server se utiliza en todo el mundo en grandes empresas, medianas y pequeñas, para la gestión de bases de datos. Los analistas de Kaspersky han detectado un aumento de los ataques que utilizan los procesos de Microsoft SQL Server. En septiembre de 2022, el número de servidores SQL atacados superó las 3.000 unidades, creciendo un 56% en comparación con el mismo periodo del año anterior. Estos ataques se detectaron con éxito con Kaspersky Endpoint Security for Business y Managed Detection and Response.

El número de estos ataques ha aumentado gradualmente a lo largo del último año y se ha mantenido por encima de los 3.000 desde abril de 2022, a excepción de un ligero descenso en julio y agosto.

ataques sql
ataques sql

Un incidente peculiar: Scripts PowerShell y archivos .PNG

En el nuevo informe, dedicado a los incidentes más interesantes de Managed Detection and Response, los expertos de Kaspersky describen un ataque que emplea tareas de Microsoft SQL Server, esto es, una secuencia de comandos ejecutados por el agente del servidor.

«Los ciberatacantes intentaron modificar la configuración del servidor para obtener acceso al shell para ejecutar malware a través de PowerShell. El SQL Server comprometido intentaba ejecutar scripts PowerShell maliciosos que generaban una conexión con direcciones IP externas. Este script de PowerShell ejecutaba el malware disfrazado de archivos .png desde esa dirección IP externa utilizando el atributo «MsiMake», que es muy similar al comportamiento del malware PurpleFox», explica Sergey Soldatov.

ejemplo ataque Ms sql
Un ejemplo de tareas SQL que contienen comandos PowerShell ocultos

 

Para protegerse de las amenazas dirigidas a las empresas, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

  • Mantener siempre el software actualizado en todos los dispositivos que se utilizan para evitar que los ciberatacantes se infiltren en la red aprovechando las vulnerabilidades. Instalar los parches para las nuevas vulnerabilidades tan pronto como sea posible. Una vez descargado, los responsables de las amenazas ya no pueden abusar de la vulnerabilidad.
  • Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs utilizadas por los actores de las amenazas.
  • Elegir una solución de seguridad para endpoints fiable, como Kaspersky Endpoint Security for Business, equipada con funciones de detección basada en el comportamiento y de control de anomalías para una protección eficaz contra las amenazas conocidas y desconocidas.
  • Los servicios dedicados pueden ayudar a combatir los ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener las intrusiones en sus primeras etapas, antes de que los perpetradores logren sus objetivos. Si se encuentra con un incidente, el servicio de Kaspersky Incident Response le ayudará a responder y minimizar las consecuencias, en particular: identificar los nodos comprometidos y proteger la infraestructura de ataques similares en el futuro.

Loading