Gli attacchi tramite Microsoft SQL Server sono aumentati del 56% a settembre di quest'anno rispetto allo scorso anno. È stato identificato malware camuffato da file .PNG. Questi risultati provengono dall'ultimo Managed Detection and Response Report di Kaspersky.
Microsoft SQL Server è utilizzato in tutto il mondo da grandi aziende e PMI per la gestione dei database. Gli esperti di Kaspersky hanno identificato un aumento degli attacchi che sfruttano i processi di Microsoft SQL Server. Nel settembre 2022, il numero di server SQL attaccati era superiore a 3.000; ciò corrisponde ad un aumento del 56 per cento rispetto allo stesso periodo dell'anno precedente.
La protezione per MS SQL Server è trascurata
"Nonostante l'uso diffuso di Microsoft SQL Server, le aziende non gli danno sufficiente priorità per proteggerlo", ha affermato Sergey Soldierov, capo del Security Operations Center di Kaspersky. “Gli attacchi che utilizzano job dannosi di SQL Server sono noti da tempo, ma sono ancora utilizzati dai criminali informatici per ottenere l'accesso all'infrastruttura IT di un'azienda. Gli aggressori hanno tentato di modificare la configurazione del server per ottenere l'accesso alla shell ed eseguire malware tramite PowerShell. Il server SQL compromesso ha quindi tentato di eseguire script PowerShell dannosi che si connettevano a indirizzi IP esterni. Lo script di PowerShell esegue il malware mascherato da file .PNG da questo indirizzo IP esterno con l'attributo 'MsiMake'. Questo è simile al comportamento del malware PurpleFox.”
Raccomandazioni per le organizzazioni per proteggersi dalle minacce informatiche
- Mantieni sempre aggiornato il software di tutti i dispositivi utilizzati per evitare che malintenzionati possano penetrare nella rete aziendale sfruttando le vulnerabilità. Le patch per le nuove vulnerabilità dovrebbero essere installate immediatamente, poiché gli attori delle minacce non possono più sfruttare una vulnerabilità che è stata chiusa in questo modo.
- Le ultime informazioni di intelligence sulle minacce aiutano i professionisti della sicurezza informatica a conoscere gli attuali TTP degli aggressori.
- Implementa una soluzione di sicurezza degli endpoint affidabile come Kaspersky Endpoint Security for Business, dotata di rilevamento basato sul comportamento e controllo delle anomalie per fornire una protezione efficace contro minacce note e sconosciute.
- Kaspersky Managed Detection and Response aiuta a rilevare e bloccare attacchi complessi in una fase iniziale. In caso di incidente, il servizio Kaspersky Incident Response aiuta a rispondere e a minimizzare le conseguenze.