Атаки на MS-SQL и MySQL в первом квартале 2026: тренд на снижение сменился новым всплеском активности

В центре внимания исследователей оказалась вредоносная кампания, использующая инструмент под названием Larva-26002. Этот загрузчик применял стандартные системные утилиты, такие как BCP (программа массового копирования), curl, bitsadmin и PowerShell, для своей работы. Его конечной целью было развёртывание на скомпрометированных серверах сканера, написанного на языке Go, - ICE Cloud. Анализ кода показал наличие строк на турецком языке, а также инструкций для сканирования, управляемых через командно-управляющий сервер. После проникновения ICE Cloud пытался аутентифицироваться в экземплярах MS-SQL, используя заранее заданный набор учётных данных для подбора.

Специалисты отмечают в своём отчёте, что динамика атак в первом квартале демонстрирует классическую модель адаптации злоумышленников. Временное снижение активности в феврале может быть связано с цикличностью кампаний, техническими доработками со стороны атакующих или усилением защитных мер после январского пика. Однако последующий рост в марте подтверждает, что серверы баз данных остаются высокоприоритетной и устойчивой мишенью. Это объясняется их критической ролью в инфраструктуре: они часто содержат конфиденциальную бизнес-информацию, персональные данные и могут служить плацдармом для горизонтального перемещения внутри сети.

С технической точки зрения, используемые методы не отличаются новизной, но их эффективность по-прежнему высока. Атаки грубой силой (brute force) и с использованием словарей успешны там, где администраторы пренебрегают настройкой сложных паролей или используют учётные записи со стандартными, легко угадываемыми данными для входа. Эксплуатация непропатченных уязвимостей и ошибок конфигурации, таких как оставленные по умолчанию или избыточные права доступа, позволяет злоумышленникам не только получить первоначальный доступ, но и закрепиться в системе (persistence) для выполнения произвольных команд.

Развёртывание сканера ICE Cloud после компрометации служит наглядной иллюстрацией дальнейших намерений атакующих. Автоматизированное сканирование внутренней сети на наличие других доступных серверов MS-SQL расширяет масштаб инцидента далеко за пределы первоначально атакованного узла. Использование языка Go для создания такого инструмента, в свою очередь, упрощает его кроссплатформенную компиляцию и затрудняет детектирование традиционными сигнатурами. Наличие локализованных строк может указывать на региональную направленность группы или попытку маскировки.

Последствия подобных атак носят комплексный характер. Прямой ущерб включает риск масштабной утечки данных, что ведёт к репутационным и регуляторным издержкам для компании. Остановка или нарушение работы баз данных парализует бизнес-процессы, зависящие от этой информации. Кроме того, скомпрометированный сервер может быть использован для майнинга криптовалюты, размещения вредоносного кода, атаки на третьи стороны или как узел в ботнете, что создаёт дополнительные юридические и операционные риски.

Эксперты сходятся во мнении, что для противодействия этому тренду необходимы базовые, но строго соблюдаемые меры кибергигиены. Во-первых, критически важно управление учётными записями: использование сложных, уникальных паролей, их регулярная смена и отказ от стандартных учётных данных. Во-вторых, необходимо своевременное применение обновлений безопасности (патчей) как для самой СУБД, так и для операционной системы. В-третьих, обязателен контроль доступа к сервисам из внешних сетей с помощью межсетевых экранов, чтобы ограничить воздействие атак из интернета только доверенными IP-адресами. Наконец, следует минимизировать поверхность атаки, отключая неиспользуемые расширения и функции, особенно те, что позволяют выполнение удалённых команд, что значительно усложняет жизнь злоумышленникам даже в случае частичного успеха.

Domains

• hostroids.com

URLs

• http://109.205.211.13/api.exe

MD5

• 0a9f2e2ff98e9f19428da79680e80b77
• 28847cb6859b8239f59cbf2b8f194770
• 5200410ec674184707b731b697154522
• 7fbbf16256c7c89d952fee47b70ea759
• 89bf428b2d9214a66e2ea78623e8b5c9