Οι ερευνητές ασφαλείας, προειδοποιούν για ευάλωτους διακομιστές Microsoft SQL που στοχοποιούνται από ένα νέο κύμα επιθέσεων ransomware FARGO.
Δείτε επίσης: Η SonicWall προειδοποιεί για κρίσιμο σφάλμα SQL injection
Οι διακομιστές MS-SQL είναι συστήματα διαχείρισης βάσεων δεδομένων που διατηρούν δεδομένα για υπηρεσίες και εφαρμογές Διαδικτύου. Η διατάραξή τους μπορεί να προκαλέσει σοβαρά προβλήματα.
Το τελευταίο κύμα επιθέσεων είναι πιο καταστροφικό, με στόχο το γρήγορο και εύκολο κέρδος, εκβιάζοντας τους κατόχους βάσεων δεδομένων.
Οι ερευνητές ασφαλείας στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφάλειας AhnLab (ASEC) λένε ότι το FARGO είναι ένα από τα πιο σημαντικά στελέχη ransomware που επικεντρώνονται σε διακομιστές MS-SQL, μαζί με το GlobeImposter. Αυτή η οικογένεια κακόβουλου λογισμικού αναφέρεται ως “Mallox” στο παρελθόν επειδή προσέθετε την επέκταση “.mallox” στα αρχεία που κρυπτογραφεί.
Επίσης, αυτό το στέλεχος είναι το ίδιο που οι ερευνητές της Avast ονόμασαν “TargetCompany” σε μια αναφορά τον Φεβρουάριο, τονίζοντας ότι τα αρχεία που κρυπτογραφούνται από αυτήν ενδέχεται να ανακτηθούν δωρεάν σε ορισμένες περιπτώσεις.
Τα στατιστικά δεδομένα σχετικά με επιθέσεις ransomware στην πλατφόρμα ID Ransomware δείχνουν ότι η οικογένεια κακόβουλου λογισμικού κρυπτογράφησης αρχείων FARGO είναι αρκετά ενεργή.
Οι ερευνητές σημειώνουν ότι η μόλυνση με ransomware ξεκινά με τη διαδικασία MS-SQL στον παραβιασμένο μηχάνημα που κατεβάζει ένα αρχείο .NET.
Το ωφέλιμο φορτίο ανακτά επιπλέον κακόβουλο λογισμικό, δημιουργεί και εκτελεί ένα αρχείο BAT που τερματίζει συγκεκριμένες διαδικασίες και υπηρεσίες.
Δείτε ακόμα: Η Django διορθώνει ευπάθεια SQL Injection στις νέες εκδόσεις
Στη συνέχεια, το ωφέλιμο φορτίο ransomware εγχέεται στο AppLaunch.exe, μια νόμιμη διαδικασία των Windows, και προσπαθεί να διαγράψει το κλειδί μητρώου για το “εμβόλιο” ransomware ανοιχτού κώδικα που ονομάζεται Raccine.
Επιπλέον, το κακόβουλο λογισμικό εκτελεί την εντολή απενεργοποίησης ανάκτησης και τερματίζει τις διαδικασίες που σχετίζονται με τη βάση δεδομένων για να καταστήσει το περιεχόμενό τους διαθέσιμο για κρυπτογράφηση.
Το στέλεχος ransomware FARGO αποκλείει ορισμένα λογισμικά και καταλόγους από την κρυπτογράφηση για να αποτρέψει το να καταστεί εντελώς άχρηστο το σύστημα διακομιστή SQL που δέχεται επίθεση.
Εξαιρούνται από την κρυπτογράφηση αρκετοί κατάλογοι συστήματος των Microsoft Windows, τα αρχεία εκκίνησης, το πρόγραμμα περιήγησης Tor, ο Internet Explorer, οι προσαρμογές και οι ρυθμίσεις χρήστη, το αρχείο καταγραφής εντοπισμού σφαλμάτων ή η βάση δεδομένων μικρογραφιών.
Αφού ολοκληρωθεί η κρυπτογράφηση, τα κλειδωμένα αρχεία μετονομάζονται χρησιμοποιώντας την επέκταση “.Fargo3” και το κακόβουλο λογισμικό δημιουργεί το σημείωμα λύτρων (“RECOVERY FILES.txt”).
Τα θύματα απειλούνται με διαρροή των κλεμμένων αρχείων σε ένα κανάλι Telegram, εκτός και αν πληρώσουν τα λύτρα.
Δείτε επίσης: 3,6 εκατομμύρια MySQL servers βρέθηκαν εκτεθειμένοι στο Διαδίκτυο
Οι διακομιστές βάσεων δεδομένων συχνά παραβιάζονται μέσω επιθέσεων brute force και dictionary που είναι επιτυχείς έναντι λογαριασμών που προστατεύονται με αδύναμα διαπιστευτήρια. Εναλλακτικά, οι εγκληματίες του κυβερνοχώρου προσπαθούν να εκμεταλλευτούν γνωστά τρωτά σημεία που ο στόχος δεν έχει επιδιορθώσει.
Η σύσταση για τους διαχειριστές διακομιστή MS-SQL είναι να βεβαιωθούν ότι χρησιμοποιούν αρκετά ισχυρούς και μοναδικούς κωδικούς πρόσβασης. Επιπλέον, το να διατηρείτε το μηχάνημα ενημερωμένο με τις πιο πρόσφατες επιδιορθώσεις για τρωτά σημεία ασφαλείας είναι μια συμβουλή που δεν φεύγει ποτέ από τη μόδα.
