Os servidores Microsoft SQL (MS SQL) têm enfrentado uma onda crescente de ataques cibernéticos sofisticados. Uma campanha recente, conhecida como RE#TURGENCE, tem como alvo servidores mal configurados nos Estados Unidos, União Europeia e América Latina. Esta ação é atribuída a atores de origem turca e caracteriza-se pelo uso de ataques de força bruta, seguidos pela exploração da opção de configuração xp_cmdshell para executar comandos shell no sistema comprometido. Essa técnica possibilita aos cibercriminosos recuperarem um script PowerShell de um servidor remoto, que por sua vez busca um payload ofuscado do Cobalt Strike beacon, uma ferramenta de pós-exploração.
Esses ataques não são isolados. Outra campanha conhecida como DB#JAMMER, que veio à tona em setembro de 2023, seguiu um padrão semelhante. Os hackers empregaram ataques de força bruta para violar a segurança dos servidores MSSQL e implantaram o Cobalt Strike, juntamente com uma variante do ransomware Mimic, chamada FreeWorld. Além disso, os invasores usaram técnicas variadas, incluindo a criação de novos usuários no sistema da vítima e a manipulação do registro do Windows para garantir controle remoto sobre o sistema.
Outro vetor de ataque relevante envolve a exploração de vulnerabilidades antigas do Microsoft SharePoint. Em julho de 2019, uma violação significativa de dados nas Nações Unidas foi atribuída à exploração de uma falha no SharePoint. Essa vulnerabilidade, conhecida como CVE-2019-0604, foi usada por agentes apoiados pelo Estado iraniano e por outros grupos de hackers para comprometer servidores governamentais e de grandes corporações.
Estes casos ilustram a importância crítica de práticas robustas de segurança cibernética, incluindo a configuração adequada dos servidores, a implementação de senhas fortes e a aplicação rápida de patches de segurança. A complexidade e a sofisticação desses ataques cibernéticos reforçam a necessidade contínua de vigilância e atualização constante das estratégias de defesa cibernética.
