FARGO Ransomware retter sig mod sårbare Microsoft SQL-servere

Foto: Shutterstock

Organisationer bliver advaret om en bølge af angreb rettet mod Microsoft SQL Server med ransomware kendt som Fargo, som krypterer filer og truer ofre med, at deres data kan blive offentliggjort online, hvis de ikke betaler.

 

Advarslen kommer i et blogindlæg fra analytikere ved AhnLab Security Emergency Response Center (ASEC), som siger, at Fargo er en af ​​de mest fremtrædende ransomware-stammer rettet mod sårbare SQL Server-instanser og tidligere også var kendt som Mallox, fordi den brugte filen udvidelsen .mallox til krypterede filer i en tidligere bølge af angreb.

Ifølge ASEC starter et Fargo-angreb med, at SQL Server-processen på en kompromitteret maskine bruges til at downloade en .net-fil via cmd.exe- og powershell.exe-konsollerne. Denne nyttelast henter og kører yderligere malware-kode, som genererer og udfører en BAT-fil, som derefter lukker nogle processer og tjenester ned.

Det næste trin i angrebet er at injicere .net-kode i AppLaunch.exe, som derefter forsøger at slette registreringsnøglen til Raccine, et open source-værktøj designet til at give en vis beskyttelse mod ransomware-angreb.

Fargo fortsætter med at udføre gendannelsesdeaktiveringskommandoen og sletter alle skyggekopier ved hjælp af vssadmin (hvilket er hvad Raccine skal forhindre), før han lukker ned for forskellige databaserelaterede processer for at gøre indholdet af databasefiler tilgængeligt til kryptering.

Hvis det lykkes, får de krypterede filer deres filnavn tilføjet “.Fargo3”, og der genereres en løsesumseddel med filnavnet “RECOVERY FILES.txt”. Sidstnævnte informerer offeret om, hvordan man kontakter angriberne for at betale løsesummen og truer: “I tilfælde af manglende betaling af løsesummen kan dine data blive offentliggjort på det offentlige domæne.”

Men hvordan får angriberne adgang til SQL Server-instanser for at implementere ransomwaren i første omgang? Ifølge ASEC vil dette typisk tage form af brute force-angreb og ordbogsangreb på systemer, hvor kontolegitimationsoplysninger bliver dårligt administreret. Angreb kan også søge at udnytte systemer, der ikke er blevet fuldstændigt patchet og kan derfor være sårbare over for kendte udnyttelser.

Opdater og skift password jævnligt

ASEC-bloggen giver råd om, at SQL Server-administratorer bør bruge stærke adgangskoder, der er svære at gætte og ændre dem med jævne mellemrum for at beskytte databaseserveren mod brute force-angreb og ordbogsangreb. Det giver også den sædvanlige anbefaling om, at organisationer bør anvende sikkerhedsrettelser for at beskytte sig mod udnyttelser, der bruger kendte sårbarheder.

Truslen fra ransomware er fortsat en af ​​de største sikkerhedsproblemer for organisationer, der tegner sig for 25 procent af de observerede sikkerhedshændelser og er til stede i 70 procent af alle malware-infektioner, ifølge en Verizon-rapport offentliggjort tidligere i år.

Anbefalingen til MS-SQL-serveradministratorer er altid at have stærke adgangskoder og derudover holde maskinerne opdateret.

Subscribe
Notify of
guest
0 Kommentarer
Inline Feedbacks
View all comments
Lars Nielsen

Lars Nielsen

Journalist ved Newstimes.dk