На 20 май 2024 г. наш партньор в киберсигурността Centio алармира за масирана атака срещу клиенти на Microinvest. Атаката се осъществява чрез отдалечен достъп до MSSQL сървър, използвайки публичния порт 1433, който позволява на потребителите да работят дистанционно от друга локация. Но също така дава възможност на хакерите да достъпват базата данни и да я криптират. Според проучване на Хай Тийм, Microinvest е предоставил указание в ресурсите си как потребителите сами да отворят този публичен порт, което обяснява множеството засегнати потребители, които са се оплакали във форума на продукта, както и счетоводните форуми. Правилният начин да се използва отдалечено продукта е вместо чрез отваряне на публичен порт – чрез използване на VPN (виртуална частна мрежа).
Ако и вие имате продукт на Microinvest или използвате същия порт за друго приложение, за да се защитите, е важно спешно да затворите публичния достъп до този порт и да смените паролите си на SQL сървъра. Атаката включва опити за автентикация с парола по подразбиране и brute force атаки (налучкване на парола на принципа проба грешка), което води до криптиране на базите данни при успех.
Проучване на Хай Тийм показа, че в България към днешна дата има 3955 машини, които са отворили порт 1433 и са потенциално уязвими от атаката – вижте снимката под публикацията.
Все още не е ясно дали атаката е само към клиенти на Microinvest или поразява и други продукти с MSSQL.
Как да се предпазите от атаката:
- Ограничете публичния достъп до вашите компютри като затворите порт 1433.
- Сменете паролата си на Вашия MSSQL на Microinvest.
- Защитете компютъра си.
1. Затворете порт 1433:
Атаките към SQL сървъра се осъществяват основно през порт 1433. За да се защитите, затворете порт 1433 в рутера или при вашия интернет доставчик.
2. Как да смените паролата на вашия SQL сървър в Microinvest:
За да смените паролата на вашия SQL сървър, следвайте тези стъпки:
- Стартирайте програмата Microinvest Password Change Tool на компютъра със SQL сървъра.
- Въведете нов потребител и парола с минимум 12 символа.
- Създайте новия потребител и въведете данните в програмите, които ще използват сървъра.
3. Защитете вашия компютър:
Ако имате подозрения за криптовирус, който е влязъл в операционната система Windows, предприемете следните стъпки:
- Архивирайте всички бази данни на външен носител и го изключете от компютъра. Инсталиране на софтуер Microinvest Archi Pro и архивиране на данните. Архивирайте и всички важни данни на компютрите, защото при криптиране се заключват всички файлове на компрометирания компютър – снимки, видеа и документи.
- Изключете интернет връзката и направете пълно сканиране на системата с антивирусна програма с актуални антивирусни дефиниции.
- Сменете всички пароли на Windows, SQL сървърите и пощите си.
- Променете паролите на VPN, ако имате такъв.
За повече информация и професионална помощ в областта на информационните технологии и киберсигурността, свържете се с нас.
Последвайте ни във Facebook и LinkedIn.
Публикувано на 21.05.2024 г.