הפצת תוכנת כופר חדשה של FARGO מכוונת לשרתי SQL פגיעים של Microsoft

עמוד הבית » לפרוץ

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by שרון בנט 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קרא עוד

הערה FARGO Ransomware
הערת FARGO Ransomware (קרדיט תמונה: ASEC)

דוח עדכני מצוות ניתוח האבטחה של מרכז תגובת חירום אבטחה של AhnLab (ASEC) חושפת פעילות פושעת סייבר חדשה המפצה תוכנת כופר של FARGO המכוונת לשרתי SQL פגיעים של Microsoft.

"יחד עם GlobeImposter, FARGO היא אחת מתוכנות הכופר הבולטות המכוונות לשרתי MS-SQL פגיעים", אמר ASEC. "בעבר, זה נקרא גם Mallox מכיוון שהוא השתמש בסיומת הקובץ .mallox."

שרתי MS-SQL מתייחסים מיקרוסופטמערכת ניהול מסדי נתונים יחסיים של אחסון ואחזור נתונים עבור יישומי תוכנה ושירותי אינטרנט אחרים. עם זה, גרימת בעיות על זה יכול להיות בעיות גדולות עבור עסקים. 

לפי ASEC, ההדבקה מגיעה כאשר תהליך MS-SQL מוריד קובץ NET דרך cmd.exe ו-powershell.exe. לאחר מכן קובץ זה מוריד וטוען תוכנות זדוניות נוספות, וכתוצאה מכך נוצר וביצוע קובץ BAT שמסיים תהליכים ושירותים ספציפיים.

"ההתנהגות של תוכנת הכופר מתחילה בהזרקה ל-AppLaunch.exe, תוכנית Windows רגילה", הסביר ASEC. "הוא מנסה למחוק מפתח רישום בנתיב מסוים, ומבצע את פקודת השבתת השחזור וסוגר תהליכים מסוימים."

החוקרים טוענים כי תוכנת הכופר מצפינה קבצים אך אינה כוללת חלק מהם, כולל נתיבים והרחבות, כדי להפוך את המערכת לנגישה חלקית. "ההיבט האופייני הוא שהוא אינו מדביק קבצים עם סיומת קבצים הקשורה ל-Globeimposter ורשימת החרגות זו כוללת לא רק את אותו סוג של סיומות של .FARGO .FARGO2 ו-.FARGO3, אלא כוללת גם את .FARGO4, שנחשבת להיות גרסה עתידית של תוכנת הכופר", הוסיפה ASEC.

אחרי זה, עברייני אינטרנט ישנה את שמם של הקבצים המוצפנים באמצעות סיומת .Fargo3 (למשל, OriginalFileName.FileExtension.Fargo3), בעוד שפתק הכופר שנוצר על ידי התוכנה הזדונית יופיע באמצעות שם הקובץ "RECOVERY FILES.txt". בהודעה, הקורבנות יראו איומים למחיקת קובץ המערכת שלהם לצמיתות אם הם ישתמשו בתוכנת צד שלישי כדי לפתור זאת בעצמם. בנוסף, פושעי סייבר אומרים שהם יפרסמו את הנתונים ברשות הציבור אם הקורבנות יסרבו לשלם את הכופר.

מלבד נקודות תורפה ללא תיקונים, ASEC הסביר ששרתי מסדי נתונים כמו שרתי MS-SQL ו-MySQL הם לעתים קרובות מטרות להתקפות כוח גס ומתקפות מילונים עקב אישורי חשבון חלשים. עם זאת, צוות הניתוח אמר שניתן למנוע זאת על ידי טיפול בבעיות והפעלת זהירות נוספת בהגנה על סיסמאות. "מנהלי שרתי MS-SQL צריכים להשתמש בסיסמאות שקשה לנחש עבור החשבונות שלהם ולשנות אותן מעת לעת כדי להגן על שרת מסד הנתונים מפני התקפות כוח גס ומתקפות מילונים, ולעדכן לתיקון האחרון כדי למנוע התקפות פגיעות", הציע ASEC.

עוד על הנושאים: פארגו, מיקרוסופט, מיקרוסופט-sql, MySQL, ransomware, אבטחה

שרון בנט

שרון בנט מגן

כתב

שרון הוא כתב טכנולוגיה ב-mspoweruser.com. היא מכסה את רוב החדשות הטכנולוגיות של מותגים כמו סוני, סמסונג, גוגל ועוד.

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *