安全研究人员警告说,易受攻击的 Microsoft SQL 服务器正成为 FARGO 勒索软件新一轮攻击的目标。
MS-SQL 服务器是为 Internet 服务和应用程序保存数据的数据库管理系统。破坏它们可能会导致严重的业务麻烦。
ZZQIDC在 2 月报告了类似的攻击,删除了 Cobalt Strike 信标,并 在 7 月攻击 者劫持了易受攻击的 MS-SQL 服务器以窃取代理服务的带宽。
最新一波更具灾难性,旨在通过敲诈数据库所有者来快速轻松地获利。
FARGO 勒索软件,又名 TargetCompany
AhnLab 安全应急响应中心 (ASEC) 的安全研究人员表示,FARGO 与 GlobeImposter 一样,是主要针对 MS-SQL 服务器的勒索软件之一。
这个恶意软件家族过去被称为“Mallox”,因为它曾经将“.mallox”扩展名附加到它加密的文件中。
此外,这种病毒与 Avast 研究人员在 2 月份的一份报告中命名为“ TargetCompany ”的病毒相同,强调在某些情况下,由它加密的文件可以免费恢复。
ID Ransomware平台上有关勒索软件攻击的统计数据表明,FARGO 系列文件加密恶意软件非常活跃。
感染和执行
研究人员指出,勒索软件感染始于受感染机器上的 MS-SQL 进程使用 cmd.exe和powershell.exe 下载 .NET 文件。
有效负载会获取其他恶意软件(包括储物柜),生成并运行终止特定进程和服务的 BAT 文件。
接下来,勒索软件有效载荷将自身注入到合法的 Windows 进程AppLaunch.exe中,并尝试删除名为 Raccine 的开源勒索软件“疫苗”的注册表项。
此外,恶意软件执行恢复停用命令并终止与数据库相关的进程以使其内容可用于加密。
FARGO 勒索软件将某些软件和目录从加密中排除,以防止受攻击的系统变得完全无法使用。
一些 Microsoft Windows 系统目录、引导文件、Tor 浏览器、Internet Explorer、用户自定义和设置、调试日志文件或缩略图数据库可免于加密。
加密完成后,锁定的文件会使用“.Fargo3”扩展名重命名,恶意软件会生成赎金记录(“RECOVERY FILES.txt”)。
除非他们支付赎金,否则受害者会受到威胁,他们会在威胁者的 Telegram 频道上泄露被盗文件。
数据库服务器经常受到暴力破解和字典攻击的威胁,这些攻击成功地针对受弱凭据保护的帐户。或者,网络犯罪分子试图利用目标尚未修补的已知漏洞。
对 MS-SQL 服务器管理员的建议是确保他们使用足够强且唯一的密码。此外,使用最新的安全漏洞修复程序使机器保持最新是永远不会过时的建议。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软SQL服务器在TargetCompany勒索软件攻击中遭到黑客攻击
