Cyberangriffe auf MSSQL-Datenbanken: Die Zunahme von Brute-Force-Attacken und die Bedrohung durch Ransomware
Die Welt der Cybersicherheit ist ständig in Bewegung, und es ist von entscheidender Bedeutung, über die neuesten Bedrohungen informiert zu sein. In letzter Zeit haben wir einen besorgniserregenden Anstieg von Angriffen auf MSSQL-Datenbanken beobachtet, bei denen Cyberkriminelle raffinierte Brute-Force-Techniken einsetzen, um Zugriff zu erhalten. Ihr ultimatives Ziel? Die Verbreitung von Ransomware, insbesondere einer Variante namens "Freeworld". In diesem Artikel werfen wir einen genaueren Blick auf diese Bedrohung und wie Sie sich davor schützen können.
Brute-Force-Angriffe auf MSSQL-Server
Die Sicherheitsforscher von Stumptner IT haben eine alarmierende Zunahme von Angriffen auf Microsoft SQL Server (MSSQL) festgestellt. Die Angreifer verwenden Brute-Force-Angriffe, um sich Zugang zu erreichbaren MSSQL-Servern zu verschaffen. Bei einem Brute-Force-Angriff werden systematisch verschiedene Passwörter ausprobiert, bis das richtige gefunden ist. Wenn die Angreifer erfolgreich sind, öffnen sie die Tür zu einer Vielzahl von Angriffen.
Das Arsenal der Angreifer
Was besonders besorgniserregend ist, ist das Arsenal an Werkzeugen, das die Angreifer einsetzen. Sobald sie Zugriff auf einen MSSQL-Server haben, installieren sie eine neuere Variante der Ransomware namens "Freeworld". Diese Ransomware verschlüsselt die Daten auf dem Server und erpresst Lösegeld für die Entschlüsselung.
Ein genauerer Blick auf einen Angriff
Um das Ausmaß dieser Angriffe zu verstehen, betrachten wir einen konkreten Fall. Die Angreifer erlangten Zugriff auf einen MSSQL-Server über eine Brute-Force-Attacke auf die Anmeldedaten. Nachdem sie erfolgreich authentifiziert waren, führten sie SQL-Befehle aus, um weitere Anmeldedaten auszulesen. Sie stießen auf die aktivierte Funktion "xp_cmdshell", die es ihnen ermöglichte, eigenen Code auf dem Server auszuführen.
Die Angreifer nutzten diese Funktion, um das System zu erkunden, Sicherheitsmechanismen zu umgehen und Tools zu installieren, die es ihnen ermöglichten, sich auf dem Server zu etablieren. Sie erstellten neue Benutzerkonten mit Administratorrechten, deaktivierten die Firewall und installierten weitere schädliche Software.
Schutzmaßnahmen gegen MSSQL-Angriffe
Um sich vor solchen Angriffen zu schützen, sind einige wichtige Schritte erforderlich:
-
Starke und komplexe Passwörter: Verwenden Sie starke Passwörter, insbesondere für extern zugängliche Dienste.
-
Beschränkung von xp_cmdshell: Begrenzen Sie die Verwendung von xp_cmdshell auf SQL-Servern auf ein absolutes Minimum und aktivieren Sie diese Funktion nur, wenn sie unbedingt erforderlich ist.
-
VPN statt direkter Netzwerkzugriff: Stellen Sie sicher, dass Dienste nicht direkt über das Internet erreichbar sind, sondern verwenden Sie stattdessen eine sichere VPN-Verbindung.
-
Überwachung: Überwachen Sie verdächtige Aktivitäten in häufig von Malware genutzten Verzeichnissen, wie z.B. C:\Windows\Temp.
Die Analyse der Sicherheitsforscher bietet auch einige Anhaltspunkte für mögliche Angriffe (Indicators of Compromise, IOCs). Es ist entscheidend, proaktiv zu handeln und robuste Sicherheitsmaßnahmen zu implementieren, um sich vor solchen Bedrohungen zu schützen.
Die Welt der Cybersicherheit ist komplex und sich ständig wandelnd. Bleiben Sie wachsam und stellen Sie sicher, dass Ihre Daten und Systeme angemessen geschützt sind.
Stumptner IT steht Ihnen gerne zur Verfügung, um Ihnen bei der Stärkung Ihrer Cybersicherheit zu helfen und Sie vor solchen Bedrohungen zu schützen. Kontaktieren Sie uns, um mehr über unsere Dienstleistungen und Lösungen zu erfahren.