新的 FARGO 勒索软件分发针对易受攻击的 Microsoft SQL 服务器
更新时间:2022-09-27 10:12:42 浏览次数:71+次AhnLab 安全应急响应中心 (ASEC) 安全分析团队最近发布的一份报告揭示了一项新的网络犯罪活动,该活动分发了针对易受攻击的 Microsoft SQL 服务器的 FARGO 勒索软件。
“与 GlobeImposter 一起,FARGO 是针对易受攻击的 MS-SQL 服务器的著名勒索软件之一,”ASEC 说。 “过去,它也被称为 Mallox,因为它使用文件扩展名 .mallox。”
FARGO 勒索软件说明(图片来源:ASEC)
MS-SQL 服务器是指 Microsoft 的关系数据库管理系统,用于存储和检索其他软件应用程序和 Internet 服务的数据。有了这个,对其造成问题可能对企业来说意味着大问题。
据 ASEC 称,感染发生在 MS-SQL 进程通过 cmd.exe 和 powershell.exe 下载 .NET 文件时。然后,此文件会下载并加载其他恶意软件,从而生成和执行终止特定进程和服务的 BAT 文件。
ASEC 解释说:“勒索软件的行为首先是被注入到一个普通的 Windows 程序 AppLaunch.exe 中。” “它试图删除某个路径上的注册表项,并执行恢复停用命令,并关闭某些进程。”
研究人员表示,勒索软件会加密文件,但会排除其中一些文件,包括路径和扩展名,以使系统部分可访问。 “特征方面是它不会感染具有与 Globeimposter 相关的文件扩展名的文件,并且此排除列表不仅包括 .FARGO .FARGO2 和 .FARGO3 的相同类型的扩展名,还包括 .FARGO4,这被认为是勒索软件的未来版本,”ASEC 补充道。
在此之后,网络犯罪分子将使用 .Fargo3 扩展名(例如 OriginalFileName.FileExtension.Fargo3)重命名加密文件,而恶意软件生成的赎金记录将使用文件名“RECOVERY FILES.txt”出现。在消息中,如果受害者使用第三方软件自行解决,他们将看到永久删除系统文件的威胁。此外,网络犯罪分子表示,如果受害者拒绝支付赎金,他们将在公共领域发布数据。
除了未修补的漏洞外,ASEC 解释说,由于帐户凭据薄弱,MS-SQL 和 MySQL 服务器等数据库服务器通常是暴力攻击和字典攻击的目标。对此,分析团队表示,只需解决问题并在保护密码时格外小心,就可以防止这种情况发生。 “MS-SQL 服务器的管理员应该为他们的账户使用难以猜测的密码,并定期更改密码,以保护数据库服务器免受暴力攻击和字典攻击,并更新到最新的补丁以防止漏洞攻击,”ASEC 建议。