Ransomware-Bedrohungen nehmen zunehmend Datenzentrumsserver und deren Arbeitslasten ins Visier. Diese Systeme sind häufig nicht auf dem neuesten Stand der empfohlenen Sicherheitsupdates, betreiben veraltete Anwendungen ohne Hersteller-Sicherheitsaktualisierungen oder werden aus Gründen der Geschäftskontinuität nicht regelmäßig aktualisiert. Dadurch sind Datenzentren einem hohen Risiko von Cyberangriffen und Ransomware-Aktivitäten ausgesetzt.
Microsoft SQL Server – Ein Hauptziel
Datenbanken, die sensible Daten speichern und geschäftskritische Dienste unterstützen, sind wertvolle Ziele für Ransomware-Akteure, die Daten stehlen und Lösegeld durch die Verschlüsselung kritischer Daten erpressen wollen. Der Microsoft SQL Server, eine der weltweit am häufigsten eingesetzten Datenbanken, steht dabei besonders im Fokus der Angreifer. Dies liegt vor allem daran, dass er auf Windows läuft, einem System, für das Angreifer zahlreiche Malware-Tools zur Verfügung haben.
Broadcom hat kürzlich in einem Blogpost darauf hingewiesen, dass die Zahl der Ransomware-Angriffe auf Datenzentren, insbesondere auf Microsoft SQL Server, zunimmt. Schlecht konfigurierte SQL-Server und schwache Admin-Passwörter ermöglichen Brute-Force-Angriffe oder SQL-Injektionen, die unbefugten Zugriff und Datendiebstahl erlauben. Kompromittierte Systeme können anschließend als Zugangspunkte für den Verkauf an andere Parteien genutzt oder zur Installation weiterer schädlicher Payloads verwendet werden, letztendlich für Datendiebstahl oder finanzielle Erpressung.
Bemerkenswerte Cyber-Bedrohungsaktivitäten gegen Microsoft SQL Server:
- Mimic-Ransomware, bei der der Zugang durch Brute-Force-Angriffe auf exponierte Microsoft SQL-Server erlangt wurde.
- Mallox-Ransomware, beginnend mit Brute-Force-Angriffen mittels Wörterbuchattacken, gefolgt von der Ausführung der cmd-Shell für weitere Aktivitäten.
- CLR SQLShell, ähnlich dem xp_cmdshell Stored Procedure, das verwendet wird, um Shell-Befehle auf Microsoft SQL-Servern auszuführen.
- CL0P-Ransomware nutzte eine SQL-Injection-Sicherheitslücke (CVE-2023-34362) in der MOVEit-Dateiübertragungsanwendung, um eine Web-Shell namens LEMURLOOT zu installieren.
- Freeworld-Ransomware, eine neue Variante von Mimic, die ebenfalls durch Brute-Force auf ungesicherten Microsoft SQL-Servern Zugang findet.
- Bluesky-Ransomware erlangte ebenfalls durch Brute-Force-Login auf demselben Konto Zugang und aktivierte anschließend das xp_cmdshell Stored Procedure, um Shell-Befehle auszuführen.
Die DCS-Lösung umfasst Netzwerkkontrollen, Kontrollen der Softwareausführung, Installationsrestriktionen für Software, Betriebssystemeinschränkungen, Zugriffskontrollen für Prozesse und geschützte Anwendungskontrollen, die zusammenarbeiten, um Schutz vor den neuesten Ransomware-Bedrohungen zu bieten, einschließlich Zero-Day-Angriffen.