Ciberdelincuentes aprovechan vulnerabilidades en servidores MS-SQL para instalar Ammyy Admin y obtener acceso remoto.
Publicado enAmenazas

Ciberdelincuentes aprovechan vulnerabilidades en servidores MS-SQL para instalar Ammyy Admin y obtener acceso remoto.

No hay comentarios

Ataques a Servidores MS-SQL: Explotación de Vulnerabilidades y Despliegue de Ammyy Admin

Un nuevo ataque cibernético está aprovechando vulnerabilidades en servidores Microsoft SQL (MS-SQL) para desplegar herramientas de acceso remoto como Ammyy Admin, junto con malware de escalamiento de privilegios. Esta campaña representa una amenaza significativa para organizaciones que dependen de bases de datos críticas sin las debidas medidas de seguridad.

Métodos de Explotación

Los atacantes están utilizando técnicas conocidas para comprometer servidores MS-SQL expuestos o mal configurados:

  • Fuerza bruta: Ataques automatizados contra credenciales débiles o predeterminadas.
  • Inyección SQL: Explotación de aplicaciones web vulnerables que interactúan con la base de datos.
  • Vulnerabilidades no parcheadas: Aprovechamiento de fallos conocidos en versiones antiguas de MS-SQL Server.

Etapas del Ataque

Una vez obtenido el acceso, los atacantes ejecutan un proceso bien definido:

  1. Escalada de privilegios para obtener control administrativo del servidor.
  2. Deshabilitación de mecanismos de seguridad como firewalls y antivirus.
  3. Descarga e instalación de Ammyy Admin para mantener acceso persistente.
  4. Propagación lateral dentro de la red corporativa.
  5. Exfiltración de datos sensibles o despliegue de ransomware.

Ammyy Admin como Herramienta de Acceso Remoto

Ammyy Admin es un software legítimo de administración remota que ha sido frecuentemente abusado por actores maliciosos debido a:

  • Fácil evasión de detección al ser una aplicación firmada digitalmente.
  • Capacidad para establecer conexiones directas peer-to-peer, evitando servidores de comando y control.
  • Funcionalidad completa de control remoto con acceso a archivos y ejecución de comandos.

Medidas de Mitigación

Para proteger los entornos MS-SQL, se recomienda implementar las siguientes contramedidas:

  • Actualizar regularmente MS-SQL Server e instalar todos los parches de seguridad.
  • Implementar autenticación multifactor para cuentas administrativas.
  • Restringir el acceso a los puertos TCP 1433 y UDP 1434 solo a direcciones IP autorizadas.
  • Monitorear actividades sospechosas como múltiples intentos de inicio de sesión fallidos.
  • Segmentar las redes para limitar el movimiento lateral en caso de compromiso.

Detección y Respuesta

Las organizaciones deben estar atentas a indicadores de compromiso como:

  • Conexiones salientes inusuales desde servidores de bases de datos.
  • Procesos desconocidos ejecutándose bajo cuentas de servicio SQL.
  • Modificaciones no autorizadas en tablas de configuración o creación de nuevos usuarios.
  • Presencia de archivos ejecutables con nombres aleatorios en directorios temporales.

Para más detalles sobre esta campaña, consulta la Fuente original.

Conclusión

Este ataque demuestra la continua explotación de infraestructuras críticas mal aseguradas. Los servidores de bases de datos representan objetivos valiosos para los cibercriminales, requiriendo una estrategia de defensa en profundidad que combine hardening del sistema, monitoreo continuo y respuesta rápida a incidentes.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta