Bedrohungsakteure greifen MS-SQL-Server an um Ransomware zu verbreiten

Cybersicherheitsexperten berichten von einer alarmierenden Zunahme ausgeklügelter Cyberangriffe auf schlecht gesicherte Microsoft SQL (MS-SQL) Server. Die Angreifer, die der sogenannten „TargetCompany“ Ransomware-Gruppe zugeordnet werden, setzen die Mallox-Ransomware ein, um Systeme zu verschlüsseln und Lösegeld von ihren Opfern zu erpressen. Diese jüngste Kampagne weist erschreckende Ähnlichkeiten zu früheren Angriffen mit Tor2Mine CoinMiner und BlueSky Ransomware auf und zeigt eine anhaltende Bedrohung für die digitale Sicherheitsinfrastruktur.

Vorgehensweise der Angreifer

Die Gruppe „TargetCompany“ nutzt Schwachstellen in schlecht verwalteten MS-SQL-Servern aus. Mithilfe von Brute-Force- und Wörterbuchangriffen verschaffen sich die Angreifer unautorisierten Zugang, wobei sie es vorrangig auf das Systemadministrator (SA)-Konto abgesehen haben. Nach dem Eindringen wird das Remcos Remote Access Tool (RAT) eingesetzt, ein Werkzeug, das ursprünglich für legitime Fernverwaltungszwecke vermarktet wurde, nun aber für bösartige Aktivitäten umfunktioniert wurde.

Einsatz von Mallox-Ransomware

Nach dem erfolgreichen Systemzugriff folgt die Installation von Malware zur Fernsteuerung des Bildschirms, was den Angreifern erlaubt, die Kontrolle über das System zu erweitern. Schließlich wird die Mallox-Ransomware ausgeliefert, die finale Schadsoftware dieser Angriffskette, die darauf ausgelegt ist, die Dateien des Opfers zu verschlüsseln und somit den Zugang ohne den passenden Schlüssel zu blockieren.

Empfehlungen zur Prävention und Abwehr

Angesichts der schwerwiegenden Folgen dieser Angriffe ist es entscheidend, dass Administratoren starke Passwortrichtlinien durchsetzen, ihre Systeme regelmäßig aktualisieren und umfassende Sicherheitslösungen einsetzen. Die kontinuierliche Entdeckung von Angriffen durch die „TargetCompany“-Gruppe betont die Notwendigkeit robuster Cyberabwehrmaßnahmen.

Langfristige Strategien zur Verbesserung der Cybersicherheit

Zur Verbesserung der Sicherheitslage empfehlen Experten neben der Implementierung starker Authentifizierungsverfahren auch die regelmäßige Überprüfung und Aktualisierung von Sicherheitssystemen. Die konsequente Anwendung von Sicherheitsupdates und die Schulung von Mitarbeitern in Bezug auf Cybersicherheitspraktiken sind unerlässlich, um die Resilienz gegenüber solchen Bedrohungen zu stärken.

Diese jüngsten Entwicklungen im Bereich der Ransomware-Angriffe auf MS-SQL-Server stellen eine ernsthafte Warnung dar, die zeigt, wie wichtig es ist, aufmerksam und proaktiv in der Verteidigung gegen Cyberkriminalität zu sein.