Güvenlik araştırmacıları, savunmasız Microsoft SQL sunucuları Fargo fidye yazılımı ile yeni bir saldırı dalgası hedefleniyor.
MS-SQL sunucuları, İnternet hizmetleri ve uygulamalar için veri tutan veritabanı yönetim sistemleridir. Onları bozmak ciddi iş sorunlarına neden olabilir.
BleepingComputer, Şubat ayında benzer saldırılar bildirdi, Kobalt Strike Beacons'ı düşürdü ve Tehdit Oyuncuları, Savunmasız MS-SQL sunucularını vekil hizmetler için bant genişliği çalmaya çalıştırdı.
En son dalga, veritabanı sahiplerine şantaj sağlayan hızlı ve kolay bir kâr amaçlayan daha felakettir.
Ahnlab Güvenlik Acil Müdahale Merkezi'ndeki (ASEC) güvenlik araştırmacıları, Fargo'nun GlobeImposter ile birlikte MS-SQL sunucularına odaklanan en önemli fidye yazılımı suşlarından biri olduğunu söylüyor.
Bu kötü amaçlı yazılım ailesi geçmişte “Mallox” olarak adlandırılmıştır, çünkü “.mallox” uzantısını şifrelediği dosyalara eklerdi.
Ayrıca, bu tür Şubat ayında bir raporda Avast araştırmacılarının “TargetCompany” adlı bir raporda, bazı durumlarda şifrelenmiş dosyaların ücretsiz olarak kurtarılabileceğini vurgulayarak aynıdır.
Kimlik fidye yazılımı platformundaki fidye yazılımı saldırıları hakkındaki istatistiksel veriler, Fargo Dosya Şanslı Kötü Yazılım Ailesi'nin oldukça aktif olduğunu göstermektedir.
Araştırmacılar, fidye yazılımı enfeksiyonunun, cmd.exe ve powerShell.exe kullanarak bir .NET dosyası indirerek uzlaşılmış makinedeki MS-SQL işlemi ile başladığını belirtiyor.
Yük yükü ek kötü amaçlı yazılım getirir (dolap dahil), belirli işlemleri ve hizmetleri sona erdiren bir yarasa dosyası oluşturur ve çalıştırır.
Daha sonra, fidye yazılımı yükü, meşru bir Windows işlemi olan Applaunch.exe'ye enjekte eder ve Raccine adı verilen açık kaynaklı fidye yazılımı “aşı” için kayıt defteri anahtarını silmeye çalışır.
Ayrıca, kötü amaçlı yazılım kurtarma devre dışı bırakma komutunu yürütür ve içeriklerini şifreleme için kullanılabilir hale getirmek için veritabanı ile ilgili işlemleri sonlandırır.
Fargo fidye yazılımı suşu, saldırıya uğramış sistemin tamamen kullanılamaz hale gelmesini önlemek için bazı yazılım ve dizinleri şifrelemeden hariç tutar.
Şifrelemeden muaf olan birkaç Microsoft Windows sistem dizinleri, önyükleme dosyaları, TOR tarayıcısı, Internet Explorer, kullanıcı özelleştirmeleri ve ayarları, hata ayıklama günlük dosyası veya küçük resim veritabanıdır.
Şifreleme tamamlandıktan sonra, kilitli dosyalar “.fargo3” uzantısı kullanılarak yeniden adlandırılır ve kötü amaçlı yazılım fidye notunu oluşturur (“Recovery Files.txt”).
Kurbanlar, fidye ödemedikçe tehdit oyuncusu Telegram kanalında çalıntı dosyaları sızdırmakla tehdit ediliyor.
Veritabanı sunucuları genellikle zayıf kimlik bilgileriyle korunan hesaplara karşı başarılı olan kaba kuvvet ve sözlük saldırıları yoluyla tehlikeye atılır. Alternatif olarak, siber suçlular, hedefin yamamadığı bilinen güvenlik açıklarından yararlanmaya çalışırlar.
MS-SQL Server Yöneticileri için öneri, yeterince güçlü ve benzersiz şifreler kullandıklarından emin olmaktır. Ayrıca, güvenlik açıkları için en son düzeltmelerle makineyi güncel tutmak, asla modası olmayan bir tavsiye.
Proxy Services için bant genişliğini çalmak için hacklenen Microsoft SQL sunucuları
Fidye Yazılımı Veri hırsızlığı aracı gasp taktiklerinde bir değişim gösterebilir
Ransomware'de Hafta - 23 Eylül 2022 - Lockbit Sızıntısı
Blackcat Ransomware’in Veri Eksfiltrasyon Aracı Yükseltme
Lockbit Ransomware Builder, "Angry Geliştirici" tarafından çevrimiçi sızdırıldı
Kaynak: Bleeping Computer