سرورهای SQL هدف جدید باج افزارFARGO!
در جدیدترین گزارش محققان امنیتی، سرورهای آسیب پذیر MS-SQL در موج جدید حملات هدف باج افزار FARGO قرار گرفته اند که با نام TargetCompany نیز شناخته میشود.
سرورهای MS-SQL ، درواقع Database اصلی است که در اکثر مواقع حاوی اطلاعات مورد نیاز سرویس ها و برنامه های کلیدی سازمان هستند، بنابراین مشاهده هرگونه اختلال در آنها می تواند باعث ایجاد مشکلات جدی در کسب و کار سازمان مربوطه شود.
بسیاری از مهاجمین باج افزار سواستفاده از سرورهای MS-SQL را در جریان حملات خود به سازمان ها دارند و در حملات اخیر هدف اصلی مهاجمین باج افزار FARGO برای کسب درامد سریع و آسان از طریق باج گیری از صاحبان این Database است.
محققین شرکت AhnLab در گزارش اعلام کردند که FARGO یکی از معروف ترین گونه های باج افزار است که همراه باج افزار GlobeImposter بیشتر روی سرورهای آسیب پذیرMS-SQL تمرکز دارند..
باج افزار FARGO به دلیل اینکه در گذشته به فایل های رمزگذاری شده پسوند mallox اضافه می کرد به عنوان باج افزار mallox شناخته میشد
محققین شرکت Avast در گزارش بهمن ماه 1400 تاکید کردند ، که فایل های رمزگذاری شده توسط آن ها ممکن است در برخی از موارد بصورت رایگان بازیابی شوند.
به اعلام آمار سایت ID-Ransomware باج افزار FARGO همچنان فعال است.
این باج افزار با استفاده از یکی از پروسه های MS-SQL و با بکارگیری cmd.exe و powershell.exe در دستگاه آسیب پذیر مورد نظر، اقدام به دانلود یک فایل Net. و کدی مخرب میکند.
کدمخرب دانلود شده، بدافزار دیگری (ازجمله یکLocker) را pickup کرده و یک فایل BAT را اجرا می کند که وظیفه آن متوقف کردن پروسه ها و سرویس های خاصی است، سپس کدمخرب باج افزار خود را به پروسه معتبر AppLaunch.exe اضافه کرده و سعی می کند کلید رجیستری مربوط به Raccine را که یک ضدباج افزار Open-source است حذف کند.
باج افزار FARGO پروسه های مربوط به Database را متوقف می کند تا قادر به رمزگذاری فایل های سیستم مورد نظر باشد.
باج افزار FARGO برخی از نرم افزارها و فایل های رمزگذاری شده را جدا می کند تا از غیر قابل استفاده شدن سیستم مورد هدف قرارگرفته جلوگیری کند.
چندین فایل سیستمی Windows، فایلهای راهانداز (Boot) و مرورگرهای TOR و IE از جمله موارد جدا شده ،توسط این بدافزار هستند
پس از تکمیل رمزگذاری ، به فایل رمزگذاری شده پسوند Fargo3 اضافه شده و Ransom Note نیز تحت عنوان فایل RECOVERY FILES.txt ایجاد میشود.
سیستم های مورد هدف قرار گرفته تهدید می شوند که درصورت پرداخت نکردن مبلغ مطالبه شده از طرف مهاجمین ، فایل های سرقت شده را افشا می کنند.
سرورهای Database دارای رمزهای عبور ضعیف که اغلب از طریق حملات موسوم به Brute-force و فهرستی از Dictionary Attack مورد نفوذ قرار می گیرند.
همچنین مهاجمین سایبری سعی می کنند از آسیب پذیری های not patched سواستفاده کرده و آنها رو مورد هدف قرار می دهند.
به لیدر سرورهای MS-SQL توصیه می شود از رمز عبورهای قوی تر و همچنین منحصر بفرد و پیچیده برای رمزگذاری سرورها استفاده کنند
همچنین به روزرسانی های امنیتی و patch ارائه شده را بصورت مداوم و در اسرع وقت برروی سرورهای خود اعمال کنند.
برای مطالعه مشروح این گزارش و اطلاعات بیشتر به سایت های زیر مراجعه فرمائید:
https://asec.ahnlab.com/en/39152/
https://afta.gov.ir/fa-IR/Portal/4927