Campagne Ransomeware ciblant les serveurs MSSQL

TitreCampagne Ransomeware ciblant les serveurs MSSQL
Numéro de Référence
Numéro de Référence
43590509/23
Date de publication
Date de publication
05 septembre 2023
Niveau de Risque
Niveau d'Impact
Déscription note de sécurité

Des chercheurs en sécurité informatique annoncent lindentification d’une campagne malicieuse par Ransomware ciblant les entités disposant de serveurs Microsoft SQL.Le mode opératoire des attaquants consiste à accéder initialement aux systèmes d’information des victimes par une attaque de type «brute force»pour obtenir des identifiants du serveur Microsoft SQL.Une fois laccès est garanti, les attaquants utilisent plusieurs techniques et outils pour affaiblir les défenses de la victime,établir leur présence dans le système et accéder à dautres hôtes du système dinformation en utilisant des techniques de mouvements latéraux.Lattaque sachèveenfin par le déploiement et lexécution du ransomware «FreeWorld», une variante de «Mimic ransomware»

Recommandations:

Recommandations

Le vecteur dattaque initial consiste à une attaque «brute force»contre les identifiants du serveur Microsoft SQL. Il est donc recommandé de renforcer la sécurité de ce service par:Imposer un politique complexede mot de passe Limiter lexposition à un internet du service MSSQL

  • Limiter lutilisation de la procédure xp_cmd shell dans les environnementsMSSQL
  • Surveiller les dossiers les plus utilisés par les malware, spécialement “C:\Windows\Temp”utilisé dans cette campagne dattaques
  • Déployerdes outils de journalisation pour les processus, comme «Sysmon»et «Powershell logging»

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2024 All rights reserved