Nova distribucija izsiljevalske programske opreme FARGO cilja na ranljive strežnike Microsoft SQL

Domov » kramp

Ikona časa branja 3 min. prebrati

Ikona koledarja Objavljeno dne

by Sharron Bennet 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Opomba o izsiljevalski programski opremi FARGO
Opomba o izsiljevalski programski opremi FARGO (avtorstvo slike: ASEC)

Nedavno poročilo skupine za varnostno analizo AhnLab Security Emergency Response Center (ASEC) razkriva novo dejavnost kibernetskega kriminala, ki distribuira izsiljevalsko programsko opremo FARGO, ki cilja na ranljive strežnike Microsoft SQL.

"FARGO je poleg GlobeImposter ena od vidnih izsiljevalskih programov, ki cilja na ranljive strežnike MS-SQL," je dejal ASEC. "V preteklosti se je imenoval tudi Mallox, ker je uporabljal datotečno pripono .mallox."

Strežniki MS-SQL se nanašajo na Microsoftsistem za upravljanje relacijskih baz podatkov za shranjevanje in pridobivanje podatkov za druge programske aplikacije in internetne storitve. S tem lahko povzročanje težav pomeni velike težave za podjetja. 

Po mnenju ASEC pride do okužbe, ko proces MS-SQL prenese datoteko .NET prek cmd.exe in powershell.exe. Ta datoteka nato prenese in naloži dodatno zlonamerno programsko opremo, kar povzroči ustvarjanje in izvajanje datoteke BAT, ki konča določene procese in storitve.

»Vedenje izsiljevalske programske opreme se začne z vbrizgavanjem v AppLaunch.exe, običajen program Windows,« je pojasnil ASEC. "Poskuša izbrisati registrski ključ na določeni poti in izvede ukaz za deaktivacijo obnovitve ter zapre določene procese."

Raziskovalci pravijo, da izsiljevalska programska oprema šifrira datoteke, vendar izključuje nekatere od njih, vključno s potmi in razširitvami, da bi bil sistem delno dostopen. »Značilen vidik je, da ne okuži datotek s končnico datoteke, ki je povezana z Globeimposterjem, in ta seznam izključitev ne vključuje samo iste vrste končnic .FARGO .FARGO2 in .FARGO3, temveč vključuje tudi .FARGO4, za katero se domneva, da je prihodnjo različico izsiljevalske programske opreme,« je dodal ASEC.

Po tem je cybercriminals bo preimenoval šifrirane datoteke z uporabo pripone .Fargo3 (npr. OriginalFileName.FileExtension.Fargo3), medtem ko bo obvestilo o odkupnini, ki ga ustvari zlonamerna programska oprema, prikazano z imenom datoteke »RECOVERY FILES.txt«. V sporočilu bodo žrtve videle grožnje, da bodo trajno izbrisale sistemsko datoteko, če bodo za rešitev same uporabile programsko opremo tretjih oseb. Poleg tega kibernetski kriminalci pravijo, da bodo podatke objavili v javni domeni, če žrtve zavrnejo plačilo odkupnine.

Poleg nezakrpanih ranljivosti je ASEC pojasnil, da so strežniki podatkovnih baz, kot sta strežnika MS-SQL in MySQL, pogosto tarča napadov s surovo silo in napadov s slovarjem zaradi šibkih poverilnic računa. S tem je analitska skupina dejala, da bi to lahko preprečili s preprosto obravnavo težav in uporabo dodatne previdnosti pri zaščiti gesel. "Skrbniki strežnikov MS-SQL bi morali za svoje račune uporabljati gesla, ki jih je težko uganiti, in jih redno spreminjati, da zaščitijo strežnik baz podatkov pred napadi s surovo silo in napadi s slovarjem ter posodobiti na najnovejši popravek, da preprečijo napade ranljivosti," je predlagal ASEC.

Več o temah: FARGO, microsoft, microsoft-sql, MySQL, izsiljevalska, varnost

Sharron Bennet

Sharron Bennet Shield

Reporter

Sharron je tehnološka poročevalka na mspoweruser.com. Pokriva večino tehnoloških novic blagovnih znamk, kot so Sony, Samsung, Google in drugih.