Масирана атака срещу клиенти на Microinvest през отдалечен достъп до MSSQL сървър

20.05.2024

последен ъпдейт: 09:54 ч., 22 май 2024 г.

Затворете публичния достъп до порт 1433 на компютъра си, ако е отворен или ползвате приложение на Microinvest с разрешен отдалечен достъп (който най-вероятно ползва същия порт).

Само в рамките на последните няколко дни нашият SOC засече редица клиенти, към които е насочена атака, каквато не бяхме виждали отдавна в България. Все още разследваме дали става въпрос за зловредна дейност, насрочена само срещу български IP-та или към потребителите на конкретно приложение.

Как работи

Според сигнали на наши клиенти, които използват приложение на Microinvest с позволен отдалечен достъп, хакери опитват да достъпят машини на порта по подразбиране, на който MSSQL сървъра слуша за отдалечена връзка: 1433 (в момента в България има на 3 960 подобни машини).

При осъществена връзка през 1433, следва опит за автентикация с паролата по подразбиране на приложението, която е публично достъпна. Ако автентникацията е неуспешна, следва и опит за brute force (в случая по-долу от IP от Хонконг).

Ако достъпът  до машината бъде получен, хакерът първо сменя базата на single_user mode, след което я криптира. В отделни случаи се криптират и други файлове по компорметрината машина

Следете този материал за информация за атаката в реално време, очакваме данни от партньорите ни от ESET за мащаба на проблема и афектираните държави извън България, ако има такива.

Какво да направите, ако сте жертва

Препоръката ни е да преинсталирате изцяло засегнатите машини и да смените всички пароли, защото разследването ни показва, че атаката има и infostealer компонент.

Единственият вариант за възстановяване на данните ви е да имате работещ бекъп.

Не опитвайте де декриптирате каквото и да било, ако не разполагате с ключа, с който са криптирани файловете ви, тъй като това може да доведе до необратимото им увреждане.

Как да се предпазите от атаката

  1. Ако ползвате Microinvest (или друго приложение), което по някаква форма излага на публичен достъп машината ви – на какъвто и да било порт – ограничете го веднага (и приложението, и достъпа). Публичен достъп до вашата устройства никога не е добра идея
  2. Направете бекъп на данните си и го поддържайте актуален регулярно
  3. Използвайте Firewall, за да лимитирате отдалечения достъп до машината си. Свържете се с нас, ако имате нужда от помощ с конфигурираншето му

ОЩЕ НОВИНИ

USER
23.07.2024

ESET засякоха Zero-Click уязвимост в Telegram за Android. Не приемайте съмнителни видеа

Прочети материала
29.06.2024

Използвайте новия ни IBAN

Прочети материала
USER
30.05.2023

CENTIO #Cybersecurity е сред българските герои за децата

Прочети материала

Да станем партньори

Възползвайте се от предимствата

Регистрирай се сега

Персонален акаунт мениджър

Който ви подпомага в избора на правилно решение

Защита на сделките Ви

С резервация в онлайн портала ни

Онлайн портал

За управление на поръчки, фактури, лицензи и запазване на сделки от всяко ваше устройство

Маркетинг подкрепа

За съвместни събития, продажби, консултации

centio-sos-sriend-footer
Начало
За нас
Решения
Новини
Партньорски портал
Поднови лиценз
Техническа поддръжка
Събития
Контакти
Linkedin
Споразумение за техническа поддръжка
Политика за защита на лични данни
Политика за бисквикти
Общи условия за ползване на сайта
Политика на ръководството

© 2024, Всички права запазени.

Дизайн от СтудиоХ. Разработка от UXperience Bulgaria

Close Popup

Използваме бисквитки, за да ви направим centio.bg възможно най-добър.

Приемам Детайлни настройки
Политика за бисквитки
Close Popup
Настройките за поверителност са запазени!
Настройки

Когато посещавате който и да е уеб сайт, той може да съхранява или извлича информация във вашия браузър, най-вече под формата на бисквитки. Контролирайте вашите лични услуги за бисквитки тук.

Анализ на поведение Политика за поверителност Политика за бисквитки
Google Analytics
  • _gid
  • _ga
Откажете всички
Save
Приемете всички Услуги
Open Privacy settings