การกระจายแรนซัมแวร์ใหม่ของ FARGO มุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft SQL ที่มีช่องโหว่

หน้าแรก » สับ

ไอคอนเวลาอ่านหนังสือ 3 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ

by ชารอน เบนเน็ต 

เผยแพร่บน

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

FARGO Ransomware หมายเหตุ
FARGO Ransomware หมายเหตุ (เครดิตรูปภาพ: ASEC)

รายงานล่าสุดจากทีมวิเคราะห์ความปลอดภัยของ ศูนย์ตอบสนองฉุกเฉินด้านความปลอดภัย AhnLab (ASEC) เปิดเผยกิจกรรมใหม่ของอาชญากรไซเบอร์ที่แจกจ่ายแรนซัมแวร์ FARGO ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Microsoft SQL ที่มีช่องโหว่

“ร่วมกับ GlobeImposter แล้ว FARGO เป็นหนึ่งในแรนซัมแวร์ที่โดดเด่นซึ่งกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ MS-SQL ที่มีช่องโหว่” ASEC กล่าว “เมื่อก่อนเรียกอีกอย่างว่า Mallox เพราะมันใช้นามสกุลไฟล์ .mallox”

เซิร์ฟเวอร์ MS-SQL อ้างถึง ไมโครซอฟท์ระบบจัดการฐานข้อมูลเชิงสัมพันธ์สำหรับการจัดเก็บและเรียกข้อมูลสำหรับแอปพลิเคชันซอฟต์แวร์และบริการอินเทอร์เน็ตอื่นๆ ด้วยเหตุนี้ การก่อปัญหาจึงอาจหมายถึงปัญหาใหญ่สำหรับธุรกิจ 

ตาม ASEC การติดไวรัสเกิดขึ้นเมื่อกระบวนการ MS-SQL ดาวน์โหลดไฟล์ .NET ผ่าน cmd.exe และ powershell.exe ไฟล์นี้จะดาวน์โหลดและโหลดมัลแวร์เพิ่มเติม ส่งผลให้มีการสร้างและดำเนินการไฟล์ BAT ที่สิ้นสุดกระบวนการและบริการเฉพาะ

“พฤติกรรมของแรนซัมแวร์เริ่มต้นด้วยการแทรกเข้าไปใน AppLaunch.exe ซึ่งเป็นโปรแกรม Windows ปกติ” ASEC อธิบาย “มันพยายามลบรีจิสตรีคีย์ในบางเส้นทาง และดำเนินการคำสั่งปิดการใช้งานการกู้คืน และปิดกระบวนการบางอย่าง”

นักวิจัยกล่าวว่าแรนซัมแวร์เข้ารหัสไฟล์ แต่ไม่รวมบางไฟล์ รวมถึงพาธและส่วนขยาย เพื่อทำให้ระบบสามารถเข้าถึงได้บางส่วน “ลักษณะเฉพาะคือมันไม่ติดไฟล์ที่มีนามสกุลไฟล์ที่เชื่อมโยงกับ Globeimposter และรายการยกเว้นนี้ไม่เพียงแต่รวมนามสกุลประเภทเดียวกันของ .FARGO .FARGO2 และ .FARGO3 แต่ยังรวมถึง .FARGO4 ซึ่งคาดว่าจะเป็น แรนซัมแวร์เวอร์ชันอนาคต” ASEC กล่าวเสริม

หลังจากนี้ อาชญากรไซเบอร์ จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยใช้นามสกุล .Fargo3 (เช่น OriginalFileName.FileExtension.Fargo3) ในขณะที่หมายเหตุเรียกค่าไถ่ที่สร้างโดยมัลแวร์จะปรากฏขึ้นโดยใช้ชื่อไฟล์ “RECOVERY FILES.txt” ในข้อความ ผู้ที่ตกเป็นเหยื่อจะเห็นการคุกคามของการลบไฟล์ระบบอย่างถาวร หากพวกเขาใช้ซอฟต์แวร์บุคคลที่สามเพื่อแก้ไขปัญหาด้วยตนเอง นอกจากนี้ อาชญากรไซเบอร์กล่าวว่าพวกเขาจะเผยแพร่ข้อมูลในโดเมนสาธารณะหากเหยื่อปฏิเสธที่จะจ่ายค่าไถ่

นอกเหนือจากช่องโหว่ที่ไม่ได้รับการแก้ไขแล้ว ASEC อธิบายว่าเซิร์ฟเวอร์ฐานข้อมูล เช่น เซิร์ฟเวอร์ MS-SQL และ MySQL มักตกเป็นเป้าหมายของการโจมตีด้วยกำลังเดรัจฉานและการโจมตีจากพจนานุกรมเนื่องจากข้อมูลประจำตัวของบัญชีที่อ่อนแอ ด้วยเหตุนี้ ทีมวิเคราะห์จึงกล่าวว่าสามารถป้องกันได้ด้วยการจัดการปัญหาและใช้ความระมัดระวังเป็นพิเศษในการปกป้องรหัสผ่าน “ผู้ดูแลระบบของเซิร์ฟเวอร์ MS-SQL ควรใช้รหัสผ่านที่คาดเดาได้ยากสำหรับบัญชีของตน และเปลี่ยนเป็นระยะๆ เพื่อปกป้องเซิร์ฟเวอร์ฐานข้อมูลจากการโจมตีแบบเดรัจฉานและการโจมตีจากพจนานุกรม และอัปเดตเป็นแพตช์ล่าสุดเพื่อป้องกันการโจมตีจากช่องโหว่” ASEC กล่าว

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: FARGO, ไมโครซอฟท์, microsoft-sql, MySQL, ransomware, ความปลอดภัย

ชารอน เบนเน็ต

ชารอน เบนเน็ต โล่

ผู้สื่อข่าว

Sharron เป็นนักข่าวเทคโนโลยีที่ mspoweruser.com เธอครอบคลุมข่าวเทคโนโลยีส่วนใหญ่จากแบรนด์ต่างๆ เช่น Sony, Samsung, Google และอื่นๆ