توزیع باج افزار جدید FARGO سرورهای آسیب پذیر مایکروسافت SQL را هدف قرار می دهد

گزارش اخیر تیم تحلیل امنیتی از مرکز پاسخگویی اضطراری امنیتی AhnLab (ASEC) یک فعالیت مجرمانه سایبری جدید را نشان می دهد که باج افزار FARGO را توزیع می کند که سرورهای آسیب پذیر مایکروسافت SQL را هدف قرار می دهد.

ASEC گفت: "همراه با GlobeImposter، FARGO یکی از باج افزارهای برجسته ای است که سرورهای آسیب پذیر MS-SQL را هدف قرار می دهد." "در گذشته به آن Mallox نیز می گفتند زیرا از پسوند فایل .mallox استفاده می کرد."

سرورهای MS-SQL اشاره می کنند مایکروسافتسیستم مدیریت پایگاه داده رابطه ای برای ذخیره و بازیابی داده ها برای سایر برنامه های نرم افزاری و خدمات اینترنتی. با این اوصاف، تحمیل مسائل بر آن می تواند به معنای مشکلات بزرگی برای کسب و کارها باشد. 

به گفته ASEC، آلودگی زمانی ایجاد می شود که فرآیند MS-SQL یک فایل .NET را از طریق cmd.exe و powershell.exe دانلود می کند. سپس این فایل بدافزار اضافی را دانلود و بارگیری می‌کند و در نتیجه یک فایل BAT تولید و اجرا می‌شود که فرآیندها و خدمات خاصی را پایان می‌دهد.

ASEC توضیح داد: «رفتار باج‌افزار با تزریق به AppLaunch.exe، یک برنامه معمولی ویندوز، آغاز می‌شود. سعی می کند یک کلید رجیستری را در یک مسیر مشخص حذف کند و دستور غیرفعال سازی بازیابی را اجرا می کند و فرآیندهای خاصی را می بندد.

محققان می‌گویند این باج‌افزار فایل‌ها را رمزگذاری می‌کند، اما برخی از آنها، از جمله مسیرها و برنامه‌های افزودنی را حذف می‌کند تا سیستم تا حدی قابل دسترسی باشد. جنبه مشخصه این است که فایل‌های با پسوند فایل مرتبط با Globeimposter را آلوده نمی‌کند و این لیست حذف نه تنها شامل همان نوع پسوندهای .FARGO .FARGO2 و .FARGO3 می‌شود، بلکه شامل .FARGO4 نیز می‌شود که تصور می‌شود یک نسخه آینده از باج افزار،" ASEC اضافه کرد.

پس از این، مجرمان سایبری نام فایل های رمزگذاری شده را با استفاده از پسوند .Fargo3 تغییر می دهد (به عنوان مثال، OriginalFileName.FileExtension.Fargo3)، در حالی که یادداشت باج تولید شده توسط بدافزار با استفاده از نام فایل "RECOVERY FILES.txt" ظاهر می شود. در این پیام، قربانیان در صورت استفاده از نرم‌افزار شخص ثالث برای حل آن، تهدیدهایی مبنی بر حذف دائمی فایل سیستم خود خواهند دید. علاوه بر این، مجرمان سایبری می گویند در صورتی که قربانیان از پرداخت باج امتناع کنند، داده ها را در حوزه عمومی منتشر خواهند کرد.

جدا از آسیب‌پذیری‌های اصلاح‌نشده، ASEC توضیح داد که سرورهای پایگاه داده مانند سرورهای MS-SQL و MySQL اغلب به دلیل اعتبار ضعیف حساب، هدف حملات brute force و حملات فرهنگ لغت هستند. با این کار، تیم تجزیه و تحلیل گفت که می توان با پرداختن به مشکلات و اعمال احتیاط بیشتر در محافظت از رمزهای عبور از آن جلوگیری کرد. ASEC پیشنهاد می‌کند: «مدیران سرورهای MS-SQL باید از رمزهای عبوری استفاده کنند که حدس زدن آن‌ها برای حساب‌هایشان دشوار است و به‌طور دوره‌ای آن‌ها را تغییر دهند تا از سرور پایگاه داده در برابر حملات brute force و حملات فرهنگ لغت محافظت کنند و برای جلوگیری از حملات آسیب‌پذیری به آخرین وصله به‌روزرسانی کنند.»