Seguridad
Microsoft SQL Server se está utilizando en todo el mundo. Tanto grandes empresas, como PYMEs, lo usan para la gestión de bases de datos. Por ello, los analistas de Kaspersky, compañía global de ciberseguridad y privacidad digital, ha decidido analizarlo, detectando un aumento de los ataques que utilizan los procesos de Microsoft SQL Server.
Concretamente, en septiembre de 2022 el número de servidores SQL atacados superó las 3.000 unidades, aumentando en un 56% en comparación con el mismo periodo del pasado año. Todos estos ataques se detectaron con éxito gracias a Kaspersky Endpoint Security for Business y Managed Detection and Response.
Incremento gradual
Además, a lo largo del último año se ha mantenido por encima de los 3.000 casos desde el mes de abril de 2022, a excepción de un ligero descenso en los meses de julio y agosto.
"Aunque la popularidad de Microsoft SQL Server es rotunda, resulta posible que las empresas no den la suficiente importancia a la protección contra las amenazas asociadas a este tipo de software. Además, los ataques que usan funciones maliciosas de SQL Server se reconocen ya desde hace mucho tiempo, aunque los atacantes siguen usándolas para acceder a la infraestructura de las compañías", comenta Sergey Soldatov, Jefe del Centro de Operaciones de Seguridad de Kaspersky.
Un incidente diferente o Scripts PowerShell y archivos .PNG
En el nuevo informe, pensado de cara a aquellos incidentes más interesantes de Managed Detection and Response, los especialistas de Kaspersky comentan un ataque que emplea tareas de Microsoft SQL Server, resultando una secuencia de comandos ejecutados por el agente del servidor.
"Los ciberatacantes intentaron modificar, sin lugar a dudas, la configuración del servidor para brindar acceso al shell para ejecutar malware a través de PowerShell. El SQL Server comprometido, como consecuencia, intentaba ejecutar scripts PowerShell maliciosos capaces de crear una conexión con direcciones IP externas. Este tipo de script de PowerShell llegaba al malware disfrazado de archivos .png desde esa dirección IP externa. Y lo hacía usando el atributo "MsiMake", que, en definitiva, resulta realmente similar al comportamiento del malware PurpleFox", añade Sergey Soldatov.
Algunas medidas recomendables
- Mantener siempre el software actualizado en todos los dispositivos que se usan, evitando que los ciberatacantes se infiltren en la red aprovechando las vulnerabilidades. Instalar, además, los parches para las nuevas vulnerabilidades tan pronto como sea posible. Una vez se descargue, los responsables de las amenazas ya no pueden abusar de la vulnerabilidad.
- Usar la información más reciente de Inteligencia de Amenazas, estando alerta de las TTPs usadas por los actores de las amenazas.
- Escoger una solución de seguridad para endpoints fiable, como puede ser Kaspersky Endpoint Security for Business. Y es que viene equipada con funciones de detección basada en el comportamiento y también de control de anomalías para una protección eficaz contra las amenazas conocidas y desconocidas.
- Además, los servicios dedicados pueden ayudar a combatir los ataques de alto perfil. En esta línea, el servicio Kaspersky Managed Detection and Response puede brindar ayuda, identificando y deteniendo las intrusiones en sus primeras etapas, antes de que los perpetradores logren sus objetivos. Además, el servicio de Kaspersky Incident Response puede ayudar a responder y minimizar las consecuencias. Por ejemplo, identificando todos los nodos comprometidos y protegiendo la infraestructura de ataques similares en un futuro cercano.
Mayoristas Recomendados
Hardware
Software
Seguridad
Sistemas
Gaming
Impresión
Educación
Telecomunicaciones
