Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti della sicurezza delle informazioni dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO, insieme a GlobeImposter, sono i ransomware più popolari utilizzati per attaccare i server MS-SQL.
In precedenza, questo malware era conosciuto con altri due nomi:
Secondo la piattaforma ID Ransomware, la famiglia di ransomware FARGO è attualmente piuttosto attiva.
.png)
Secondo i ricercatori, la catena di infezione inizia con il download del file .NET da parte del processo MS-SQL utilizzando cmd.exe e powershell.exe. Il file scaricato carica malware aggiuntivo, quindi genera ed esegue un file BAT che disabilita determinati processi e servizi.
Successivamente, il malware si inietta in AppLaunch.exe e tenta di eliminare la chiave di registro, che viene utilizzata per eliminare tutti i processi che tentano di cancellare le copie shadow in Windows utilizzando vssadmin.exe.
Inoltre, il malware disabilita il ripristino e termina tutti i processi associati ai database per rendere il loro contenuto disponibile per la crittografia.
.png)
Tuttavia, il malware non crittografa alcuni programmi e directory per non rendere il sistema completamente inoperativo.
E i file che possono essere crittografati ottengono l’estensione “.Fargo3”, dopo di che FARGO crea una richiesta di riscatto (“RECOVERY FILES.txt”).
.png)
Le vittime sono minacciate di pubblicare i file rubati sul canale Telegram degli operatori di ransomware se non pagano un riscatto.
Gli esperti avvertono che i database sono molto spesso compromessi da dizionario e attacchi di forza bruta. Gli account con password deboli sono a rischio. Inoltre, gli aggressori sfruttano vulnerabilità note che potrebbero non essere corrette.
Pertanto, si consiglia agli amministratori del server MS-SQL di installare tutti gli aggiornamenti di sicurezza più recenti per MS-SQL e di modificare le password con password più efficaci.
