Güvenlik araştırmacıları uyarıyor, FARGO fidye yazılımıyla yeni bir saldırı dalgasıyla savunmasız Microsoft SQL sunucuları hedefleniyor.
MS-SQL sunucuları, internet hizmetleri ve uygulamaları için veri tutan veritabanı yönetim sistemleridir. Bunları bozmak ciddi iş sorunlarına neden olabilir.
BleepingComputer benzer saldırılar bildirdi ŞubattaKobalt Strike işaretlerini düşürmek ve Temmuzda tehdit aktörleri, proxy hizmetleri için bant genişliğini çalmak için savunmasız MS-SQL sunucularını ele geçirdiğinde.
Veritabanı sahiplerine şantaj yaparak hızlı ve kolay bir kar elde etmeyi amaçlayan son dalga daha felaket.
FARGO fidye yazılımı, diğer adıyla TargetCompany
AhnLab Güvenlik Acil Müdahale Merkezi’ndeki (ASEC) güvenlik araştırmacıları söylemek FARGO, GlobeImposter ile birlikte MS-SQL sunucularına odaklanan en önde gelen fidye yazılımı türlerinden biridir.
Bu kötü amaçlı yazılım ailesi, şifrelediği dosyalara “.mallox” uzantısını eklediği için geçmişte “Mallox” olarak anılıyordu.
Ayrıca bu tür, Avast araştırmacılarının “Hedef şirket” Şubat ayında bir raporda, onun tarafından şifrelenen dosyaların altını çizdi. ücretsiz olarak kurtarılabilir bazı durumlarda.
Fidye yazılımı saldırıları hakkında istatistiksel veriler Kimlik Fidye Yazılımı platformu, FARGO dosya şifreleyen kötü amaçlı yazılım ailesinin oldukça aktif olduğunu gösteriyor.
Enfeksiyon ve yürütme
Araştırmacılar, fidye yazılımı bulaşmasının, güvenliği ihlal edilmiş makinede bir .NET dosyası indirerek MS-SQL işlemiyle başladığını belirtiyor. cmd.exe ve powershell.exe.
Yük, ek kötü amaçlı yazılımları (dolap dahil) getirir, belirli süreçleri ve hizmetleri sonlandıran bir BAT dosyası oluşturur ve çalıştırır.
Ardından, fidye yazılımı yükü kendisini AppLaunch.exemeşru bir Windows işlemidir ve Raccine adlı açık kaynaklı fidye yazılımı “aşı” için kayıt defteri anahtarını silmeye çalışır.
Ek olarak, kötü amaçlı yazılım kurtarma devre dışı bırakma komutunu yürütür ve içeriklerini şifreleme için kullanılabilir hale getirmek için veritabanıyla ilgili işlemleri sonlandırır.
FARGO fidye yazılımı türü, saldırıya uğrayan sistemin tamamen kullanılamaz hale gelmesini önlemek için bazı yazılımları ve dizinleri şifrelemeden hariç tutar.
Birkaç Microsoft Windows sistem dizini, önyükleme dosyaları, Tor Tarayıcı, Internet Explorer, kullanıcı özelleştirmeleri ve ayarları, hata ayıklama günlük dosyası veya küçük resim veritabanı şifrelemeden muaftır.
Şifreleme tamamlandıktan sonra, kilitli dosyalar “.Fargo3” uzantısı kullanılarak yeniden adlandırılır ve kötü amaçlı yazılım fidye notunu oluşturur (“RECOVERY FILES.txt”).
Kurbanlar, fidyeyi ödemedikleri takdirde çalınan dosyaları tehdit aktörünün Telegram kanalına sızdırmakla tehdit ediliyor.
Veritabanı sunucuları, genellikle, zayıf kimlik bilgileriyle korunan hesaplara karşı başarılı olan kaba kuvvet ve sözlük saldırıları yoluyla tehlikeye girer. Alternatif olarak, siber suçlular, hedefin düzeltmediği bilinen güvenlik açıklarından yararlanmaya çalışır.
MS-SQL sunucu yöneticileri için öneri, yeterince güçlü ve benzersiz parolalar kullanmalarını sağlamaktır. Ek olarak, güvenlik açıkları için en son düzeltmelerle makineyi güncel tutmak, asla modası geçmeyen bir tavsiyedir.