W miarę jak sprawcy zagrożeń starają się uzyskać dostęp do infrastruktury korporacyjnej, coraz częściej wybierają Microsoft SQL Server jako preferowany punkt wejścia — ostrzega nowy raport firmy Kaspersky.
Z badań wynika, że ataki wykorzystujące Microsoft SQL Server wzrosły o ponad połowę (56%) we wrześniu 2022 r. w porównaniu z tym samym okresem ubiegłego roku, ponieważ tylko w tym miesiącu liczba skompromitowanych serwerów wzrosła do ponad 3 000 punktów końcowych. Z wyjątkiem lipca i sierpnia, liczba takich ataków stopniowo rosła w ciągu ostatniego roku, dodał Kaspersky, i utrzymywała się powyżej 3 000 od kwietnia 2022 r.
“Mimo popularności Microsoft SQL Server firmy mogą nie przykładać wystarczającej wagi do ochrony przed zagrożeniami związanymi z tym oprogramowaniem. Ataki wykorzystujące szkodliwe zadania SQL Server są znane od dawna, jednak nadal są one wykorzystywane przez sprawców do uzyskania dostępu do infrastruktury firmy” – podkreślił Sergey Soldatov, szef Security Operations Center w Kaspersky.
W ostatnim czasie wielokrotnie dochodziło do incydentów, w których Microsoft SQL Server był nadużywany przez hakerów, a ostatni z nich miał miejsce nieco ponad miesiąc temu. Pod koniec września 2022 r. badacze bezpieczeństwa z AhnLab Security Emergency Response Center poinformowali o trwającej kampanii dystrybuującej ransomware FARGO na serwery MS-SQL. W tym incydencie napastnicy poszli po niezabezpieczone punkty końcowe lub te, których strzegły słabe i łatwe do złamania hasła.
Z kolei w kwietniu zaobserwowano, że agresorzy instalowali na takich urządzeniach beacony Cobalt Strike. Informacje o atakach na MS-SQL pojawiały się również w maju, czerwcu i październiku tego roku. W większości przypadków hakerzy skanowali internet w poszukiwaniu punktów końcowych z otwartym portem TCP 1433, a następnie przeprowadzali na nich ataki typu brute-force, aż do odgadnięcia hasła.
