FARGO ランサムウェアに関する注意事項 (画像クレジット: ASEC)

Microsoft は常にサイバー犯罪者の攻撃の標的になっています。また、AhnLab Security Emergency Response Center (ASEC) は、脆弱な Microsoft SQL サーバーを標的とする FARGO ランサムウェアの配布を明らかにしました。

「GlobeImposter と並んで、FARGO は脆弱な MS-SQL サーバーです」と ASEC 氏は言います。 「以前は、ファイル拡張子.mallox を使用していたため、Mallox とも呼ばれていました。」

MS-SQL サーバーは、他のソフトウェア アプリケーションのデータを保存および取得するための Microsoft のリレーショナル データベース管理システムを指します。そしてインターネットサービス。これにより、それに問題を与えることは、ビジネスにとって大きな問題を意味する可能性があります。

ASEC によると、感染は、MS-SQL プロセスが cmd.exe および powershell.exe を介して.NET ファイルをダウンロードするときに発生します。次に、このファイルは追加のマルウェアをダウンロードしてロードし、特定のプロセスとサービスを終了させる BAT ファイルを生成して実行します。

「ランサムウェアの動作は、通常の Windows プログラムである AppLaunch.exe に挿入されることから始まります。 」と ASEC は説明します。 「特定のパスにあるレジストリ キーを削除しようとし、リカバリの非アクティブ化コマンドを実行し、特定のプロセスを閉じます。」

研究者によると、ランサムウェアはファイルを暗号化しますが、パスや拡張子などのファイルの一部を除外します。 、システムを部分的にアクセス可能にします。 「特徴的な点は、Globeimposter に関連付けられたファイル拡張子を持つファイルには感染しないことであり、この除外リストには、.FARGO.FARGO2 および.FARGO3 の同種の拡張子が含まれているだけでなく、.FARGO4 が含まれていると考えられています。

その後、サイバー犯罪者は暗号化されたファイルの名前を.Fargo3 拡張子 (OriginalFileName.FileExtension.Fargo3 など) を使用して変更します。マルウェアは、ファイル名「RECOVERY FILES.txt」を使用して表示されます。メッセージには、被害者がサードパーティのソフトウェアを使用して自分で解決すると、システムのファイルが完全に削除されるという脅威が表示されます。さらに、サイバー犯罪者は、被害者が身代金の支払いを拒否した場合、データをパブリック ドメインで公開すると述べています。

パッチが適用されていない脆弱性は別として、ASEC は、MS-SQL や MySQL サーバーなどのデータベース サーバーがしばしば標的になると説明しました。脆弱なアカウント資格情報によるブルート フォース攻撃と辞書攻撃の可能性があります。これにより、分析チームは、問題に対処し、パスワードの保護に特別な注意を払うだけで防止できると述べました. ASEC は、「MS-SQL サーバーの管理者は、推測しにくいパスワードをアカウントに使用し、データベース サーバーをブルート フォース攻撃や辞書攻撃から保護するために定期的に変更し、脆弱性攻撃を防ぐために最新のパッチに更新する必要があります」と提案しました。

Categories: IT Info