Нове розповсюдження програм-вимагачів FARGO націлено на вразливі сервери Microsoft SQL
3 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Недавній звіт групи аналізу безпеки компанії Центр реагування на надзвичайні ситуації безпеки AhnLab (ASEC) розкриває нову діяльність кіберзлочинців, яка розповсюджує програми-вимагачі FARGO, націлені на вразливі сервери Microsoft SQL.
«Разом із GlobeImposter, FARGO є одним із відомих програм-вимагачів, які націлені на вразливі сервери MS-SQL», — сказав ASEC. «У минулому його також називали Mallox, оскільки він використовував розширення файлу .mallox».
Сервери MS-SQL посилаються на MicrosoftСистема керування реляційною базою даних для зберігання та отримання даних для інших програмних програм та Інтернет-служб. З огляду на це, створення проблем для нього може означати великі проблеми для бізнесу.
Згідно з ASEC, зараження виникає, коли процес MS-SQL завантажує файл .NET через cmd.exe і powershell.exe. Потім цей файл завантажує та завантажує додаткове зловмисне програмне забезпечення, у результаті чого створюється та виконується файл BAT, який завершує певні процеси та служби.
«Поведінка програми-вимагача починається з того, що вона впроваджується в AppLaunch.exe, звичайну програму Windows», — пояснили в ASEC. «Він намагається видалити розділ реєстру на певному шляху, виконує команду дезактивації відновлення та закриває певні процеси».
Дослідники кажуть, що програма-вимагач шифрує файли, але виключає деякі з них, включаючи шляхи та розширення, щоб зробити систему частково доступною. «Характерним аспектом є те, що він не заражає файли з розширенням файлу, пов’язаним із Globeimposter, і цей список виключень включає не лише розширення .FARGO, .FARGO2 та .FARGO3, а й .FARGO4, який вважається майбутню версію програми-вимагача», – додав ASEC.
Після цього кіберзлочинці перейменує зашифровані файли за допомогою розширення .Fargo3 (наприклад, OriginalFileName.FileExtension.Fargo3), тоді як повідомлення про викуп, створене зловмисним програмним забезпеченням, відображатиметься під назвою файлу «RECOVERY FILES.txt». У повідомленні жертви побачать загрози остаточного видалення системного файлу, якщо вони використовуватимуть стороннє програмне забезпечення для вирішення проблеми самостійно. Крім того, кіберзлочинці кажуть, що опублікують дані у відкритому доступі, якщо жертви відмовляться платити викуп.
Окрім невиправлених уразливостей, ASEC пояснив, що сервери баз даних, такі як сервери MS-SQL і MySQL, часто є цілями атак грубої сили та атак за словником через слабкі облікові дані облікового запису. На думку аналітичної групи, цьому можна запобігти, якщо просто вирішити проблеми та застосувати додаткову обережність у захисті паролів. «Адміністратори серверів MS-SQL повинні використовувати для своїх облікових записів паролі, які важко вгадати, і періодично змінювати їх, щоб захистити сервер бази даних від атак грубої сили та словникових атак, а також оновити до останнього патча, щоб запобігти атакам уразливості», — запропонував ASEC.
