Los ataques que utilizan Microsoft SQL Server aumentaron un 56% en septiembre de 2022 en comparación con el mismo periodo del año pasado. Los autores siguen utilizando un ataque común que emplea SQL Server para intentar acceder a las infraestructuras corporativas.

El nuevo informe Managed Detection and Response de Kaspersky analiza los detalles técnicos de uno de estos incidentes.   

Microsoft SQL Server se utiliza en todo el mundo en grandes empresas, medianas y pequeñas, para la gestión de bases de datos. Los analistas de Kaspersky han detectado un aumento de los ataques que utilizan los procesos de Microsoft SQL Server. En septiembre de 2022, el número de servidores SQL atacados superó las 3.000 unidades, creciendo un 56% en comparación con el mismo periodo del año anterior. Estos ataques se detectaron con éxito con Kaspersky Endpoint Security for Business y Managed Detection and Response.

El número de estos ataques ha aumentado gradualmente a lo largo del último año y se ha mantenido por encima de los 3.000 desde abril de 2022, a excepción de un ligero descenso en julio y agosto.

«A pesar de la popularidad de Microsoft SQL Server, es posible que las empresas no den la suficiente importancia a la protección contra las amenazas asociadas a este software. Los ataques que utilizan funciones maliciosas de SQL Server se conocen desde hace mucho tiempo, pero los atacantes siguen utilizándolas para acceder a la infraestructura de las empresas», afirma Sergey Soldatov, jefe del Centro de Operaciones de Seguridad de Kaspersky.

Un incidente peculiar: Scripts PowerShell y archivos .PNG

En el nuevo informe, dedicado a los incidentes más interesantes de Managed Detection and Response, los expertos de Kaspersky describen un ataque que emplea tareas de Microsoft SQL Server, esto es, una secuencia de comandos ejecutados por el agente del servidor.

«Los ciberatacantes intentaron modificar la configuración del servidor para obtener acceso al shell para ejecutar malware a través de PowerShell. El SQL Server comprometido intentaba ejecutar scripts PowerShell maliciosos que generaban una conexión con direcciones IP externas. Este script de PowerShell ejecutaba el malware disfrazado de archivos .png desde esa dirección IP externa utilizando el atributo «MsiMake», que es muy similar al comportamiento del malware PurpleFox», explica Sergey Soldatov.

Para protegerse de las amenazas dirigidas a las empresas, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

• Mantener siempre el software actualizado en todos los dispositivos que se utilizan para evitar que los ciberatacantes se infiltren en la red aprovechando las vulnerabilidades. Instalar los parches para las nuevas vulnerabilidades tan pronto como sea posible. Una vez descargado, los responsables de las amenazas ya no pueden abusar de la vulnerabilidad.
• Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las TTPs utilizadas por los actores de las amenazas.
• Elegir una solución de seguridad para endpoints fiable, como Kaspersky Endpoint Security for Business, equipada con funciones de detección basada en el comportamiento y de control de anomalías para una protección eficaz contra las amenazas conocidas y desconocidas.
• Los servicios dedicados pueden ayudar a combatir los ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener las intrusiones en sus primeras etapas, antes de que los perpetradores logren sus objetivos.  Si se encuentra con un incidente, el servicio de Kaspersky Incident Response le ayudará a responder y minimizar las consecuencias, en particular: identificar los nodos comprometidos y proteger la infraestructura de ataques similares en el futuro.