News

¿Quién querría mi servidor SQL?

Todos sabemos que los cibercriminales quieren atacar a quien esté a su alcance. Y en Kaspersky Lab también sabemos que muchos administradores de redes no prestan suficiente atención al cuidado de sus recursos de Internet. Es lamentable, pero cierto: si le preguntas a un administrador si sus servidores están protegidos, te responderá: “¡Vamos! ¿Quién querría mi servidor SQL?”.

Hace pocos meses tendimos una trampa a los cibercriminales con un “honeypot” (http://www.mwcollect.org ) en nuestro centro de investigación japonés ubicado en Tokio. Casi siempre se emplea honeypot para recolectar ejecutables de Windows porque lo hace muy bien: emula shellcode cuando encuentra un exploit. Pero un efecto secundario de utilizar el honeypot para vigilar todos los puertos es que recibimos estadísticas y datos inesperados de varios puertos de red del servidor, que tiene una dirección IP global.

Este gráfico muestra el número de ataques y conexiones no deseadas en puertos específicos de nuestro servidor. Muestra los diez puertos usados con mayor frecuencia, pero hasta los menos atacados (en este caso el puerto 1130) recibe alrededor de 16 de conexiones diarias.

Esta tabla muestra los servicios que utiliza cada puerto con mayor frecuencia:

Esperamos que esto compruebe lo que nos parece obvio: ¡hay alguien en Internet que quiere tu servidor SQL! (y un par de cosas más…). Los datos de arriba también muestran que hay muchos cibercriminales en busca de servidores “huérfanos” con puertas traseras en Internet. Algunos buscan Backdoor.Win32.Noknok, y otros intentan penetrar en servicios legítimos como Radmin y Windows Remote Desktop.

Tal vez te preguntas preguntan quién estaría buscando recursos desprotegidos. Este gráfico muestra cuántas conexiones diarias se realizan desde diferentes países a nuestro honeypot.

¡Revísala por un minuto y compárala con el gráfico anterior! Podrás ver que el número de intentos de ataques MSSQL se refleja en ataques provenientes de China. Y hace poco los servidores surcoreanos también se unieron a este intento masivo para explotar el servicio.

Los honeypots nos ayudan a obtener información valiosa. Nos distraemos analizándola y calculando las cifras, pero a fin de cuentas es una forma económica de divertirnos. Nuestro honeypot se ejecuta en un CPU de 500 MHz con Pentium III que tiene 384 Mb de RAM, que hoy en día debe costar menos de $100. Así que si no sabes qué hacer con ese ordenador viejo y lento que consideras inútil, ¡instala un honeypot! 😉

¿Quién querría mi servidor SQL?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada