Les attaques via Microsoft SQL Server ont augmenté de 56 % en septembre de cette année par rapport à l'année dernière. Un logiciel malveillant déguisé en fichier .PNG a été identifié. Ces résultats proviennent du dernier rapport de détection et de réponse gérées de Kaspersky.
Microsoft SQL Server est utilisé dans le monde entier par de grandes entreprises et des PME pour la gestion de bases de données. Les experts de Kaspersky ont identifié une augmentation des attaques exploitant les processus Microsoft SQL Server. En septembre 2022, le nombre de serveurs SQL attaqués était supérieur à 3.000 56 ; cela correspond à une augmentation de XNUMX % par rapport à la même période de l'année précédente.
La protection pour MS SQL Server est négligée
"Malgré l'utilisation généralisée de Microsoft SQL Server, les entreprises ne lui accordent pas une priorité suffisante pour le protéger", a déclaré Sergey Soldierov, responsable du Security Operations Center chez Kaspersky. « Les attaques utilisant des jobs SQL Server malveillants sont connues depuis longtemps, mais elles sont toujours utilisées par les cybercriminels pour accéder à l'infrastructure informatique d'une entreprise. Les attaquants ont tenté de modifier la configuration du serveur pour accéder au shell et exécuter des logiciels malveillants via PowerShell. Le serveur SQL compromis a ensuite tenté d'exécuter des scripts PowerShell malveillants qui se connectaient à des adresses IP externes. Le script PowerShell exécute des logiciels malveillants se faisant passer pour des fichiers .PNG à partir de cette adresse IP externe avec l'attribut "MsiMake". Ceci est similaire au comportement du malware PurpleFox.
Recommandations aux organisations pour se protéger contre les cybermenaces
- Maintenez toujours à jour le logiciel de tous les appareils utilisés pour empêcher les attaquants de pénétrer dans le réseau de l'entreprise en exploitant les vulnérabilités. Les correctifs pour les nouvelles vulnérabilités doivent être installés immédiatement, car les pirates ne peuvent plus exploiter une vulnérabilité qui a été fermée de cette manière.
- Les informations les plus récentes sur les menaces aident les professionnels de la cybersécurité à connaître les TTP actuels des attaquants.
- Implémentez une solution de sécurité des terminaux fiable comme Kaspersky Endpoint Security for Business, qui est équipée d'une détection basée sur le comportement et d'un contrôle des anomalies pour fournir une protection efficace contre les menaces connues et inconnues.
- Kaspersky Managed Detection and Response permet de détecter et de stopper les attaques complexes à un stade précoce. En cas d'incident, le service Kaspersky Incident Response permet d'y répondre et d'en minimiser les conséquences.