Los ataques contra Microsoft SQL han visto un gran aumento

Los ataques contra Microsoft SQL han visto un gran aumento

A medida que los actores de amenazas buscan acceder a la infraestructura empresarial, recurren cada vez más a Microsoft SQL Server como su punto de entrada preferido, advierte un nuevo informe de Kaspersky.

Su investigación indica que los ataques que utilizan Microsoft SQL Server aumentaron en más de la mitad (56%) en septiembre de 2022 en comparación con el mismo período del año pasado, ya que solo en ese mes la cantidad de servidores comprometidos llegó a más de 3.000 terminales.

Con la excepción de julio y agosto, la cantidad de ataques de este tipo ha aumentado constantemente durante el último año, agregó Kaspersky, y se ha mantenido por encima de los 3.000 desde abril de 2022.

defensa descuidada

“A pesar de la popularidad de Microsoft SQL Server, es posible que las organizaciones no le den suficiente prioridad a la protección contra las amenazas asociadas con el software. Los ataques que utilizan tareas maliciosas de SQL Server se conocen desde hace mucho tiempo, pero los perpetradores aún los utilizan para obtener acceso a la infraestructura de una empresa”, dijo Sergey Soldatov, Jefe del Centro de Operaciones de Seguridad de Kaspersky.

Ha habido varios incidentes recientes en los que los servidores de Microsoft SQL han sido abusados ​​por actores de amenazas, y el último ocurrió hace poco más de un mes. A fines de septiembre de 2022, los investigadores de seguridad cibernética del Centro de Respuesta a Emergencias de Seguridad AhnLab informaron sobre una campaña en curso que distribuye el ransomware FARGO a servidores MS-SQL. En este incidente, los atacantes optaron por terminales que estaban desprotegidos (se abre en una nueva pestaña) o protegidos con contraseñas débiles y fáciles de piratear.

En abril, sin embargo, se observó a los actores de amenazas instalando balizas Cobalt Strike en dichos dispositivos. Las noticias de ataques contra MS-SQL también aparecieron en mayo, junio y octubre de este año.

En la mayoría de los casos, los piratas informáticos escanean Internet en busca de puntos finales con un puerto TCP 1433 abierto y luego llevan a cabo ataques de fuerza bruta contra ellos, hasta que adivinan la contraseña.