FARGO Ransomware Note (চিত্র ক্রেডিট: ASEC)
AhnLab সিকিউরিটি ইমার্জেন্সি রেসপন্স সেন্টার (ASEC) এর নিরাপত্তা বিশ্লেষণ দলের একটি সাম্প্রতিক প্রতিবেদন ) FARGO র্যানসমওয়্যার বিতরণ করে একটি নতুন সাইবার অপরাধমূলক কার্যকলাপ প্রকাশ করে যা দুর্বল Microsoft SQL সার্ভারকে লক্ষ্য করে৷
“GlobeImposter-এর পাশাপাশি, FARGO হল একটি বিশিষ্ট ransomware যা দুর্বল MS-SQL সার্ভারগুলিকে লক্ষ্য করে,”ASEC বলে৷”অতীতে, এটিকে ম্যালক্সও বলা হত কারণ এটি ফাইল এক্সটেনশন.mallox ব্যবহার করত।”
MS-SQL সার্ভারগুলি Microsoft এর রিলেশনাল ডাটাবেস ম্যানেজমেন্ট সিস্টেম অন্যান্য সফ্টওয়্যার অ্যাপ্লিকেশন এবং ইন্টারনেট পরিষেবাগুলির জন্য ডেটা সংরক্ষণ এবং পুনরুদ্ধার করার জন্য৷ এটির সাথে, এটির উপর সমস্যাগুলি চাপানো ব্যবসার জন্য বড় সমস্যা হতে পারে।
ASEC এর মতে, যখন MS-SQL প্রক্রিয়া cmd.exe এবং powershell.exe এর মাধ্যমে একটি.NET ফাইল ডাউনলোড করে তখন সংক্রমণ ঘটে। এই ফাইলটি তারপরে অতিরিক্ত ম্যালওয়্যার ডাউনলোড করে এবং লোড করে, যার ফলে একটি BAT ফাইল তৈরি এবং কার্যকর করা হয় যা নির্দিষ্ট প্রক্রিয়া এবং পরিষেবাগুলি শেষ করে৷
“র্যানসমওয়্যারের আচরণ AppLaunch.exe-এ ইনজেকশনের মাধ্যমে শুরু হয়, একটি সাধারণ উইন্ডোজ প্রোগ্রাম ASEC ব্যাখ্যা করেছে।”এটি একটি নির্দিষ্ট পথে একটি রেজিস্ট্রি কী মুছে ফেলার চেষ্টা করে, এবং পুনরুদ্ধার নিষ্ক্রিয়করণ কমান্ডটি কার্যকর করে এবং কিছু প্রক্রিয়া বন্ধ করে৷”
গবেষকরা বলছেন র্যানসমওয়্যার ফাইলগুলিকে এনক্রিপ্ট করে তবে পাথ এবং এক্সটেনশন সহ তাদের কিছুকে বাদ দেয়৷ , সিস্টেমকে আংশিকভাবে অ্যাক্সেসযোগ্য করতে। “বৈশিষ্ট্যের দিকটি হল এটি Globeimposter-এর সাথে যুক্ত ফাইল এক্সটেনশনের সাথে ফাইলগুলিকে সংক্রামিত করে না এবং এই বর্জন তালিকায় শুধুমাত্র.FARGO.FARGO2 এবং.FARGO3-এর একই ধরনের এক্সটেনশন অন্তর্ভুক্ত করা হয় না বরং এতে.FARGO4ও অন্তর্ভুক্ত থাকে, যা বলে মনে করা হয়৷ র্যানসমওয়্যারের ভবিষ্যৎ সংস্করণ,” ASEC যোগ করেছে।
এর পরে, সাইবার অপরাধীরা
a>.Fargo3 এক্সটেনশন (যেমন, OriginalFileName.FileExtension.Fargo3) ব্যবহার করে এনক্রিপ্ট করা ফাইলগুলির নাম পরিবর্তন করবে, যখন ম্যালওয়্যার দ্বারা উত্পন্ন মুক্তিপণ নোট”RECOVERY FILES.txt”ফাইলের নাম ব্যবহার করে প্রদর্শিত হবে৷ বার্তাটিতে, ক্ষতিগ্রস্তরা তাদের সিস্টেমের ফাইল স্থায়ীভাবে মুছে ফেলার হুমকি দেখতে পাবে যদি তারা নিজেরাই এটি সমাধান করতে তৃতীয় পক্ষের সফ্টওয়্যার ব্যবহার করে। অতিরিক্তভাবে, সাইবার অপরাধীরা বলে যে তারা যদি ভুক্তভোগীরা মুক্তিপণ দিতে অস্বীকার করে তবে তারা পাবলিক ডোমেনে ডেটা প্রকাশ করবে।
অপস্থিত দুর্বলতাগুলি ছাড়াও, ASEC ব্যাখ্যা করেছে যে MS-SQL এবং MySQL সার্ভারের মতো ডাটাবেস সার্ভারগুলি প্রায়শই লক্ষ্যবস্তু হয় দুর্বল অ্যাকাউন্ট শংসাপত্রের কারণে নৃশংস শক্তি আক্রমণ এবং অভিধান আক্রমণ। এর সাথে, বিশ্লেষণ দল বলেছে যে কেবল সমস্যাগুলি সমাধান করে এবং পাসওয়ার্ড সুরক্ষিত করার ক্ষেত্রে অতিরিক্ত সতর্কতা প্রয়োগ করে এটি প্রতিরোধ করা যেতে পারে।”MS-SQL সার্ভারের অ্যাডমিনিস্ট্রেটরদের উচিত এমন পাসওয়ার্ড ব্যবহার করা যা তাদের অ্যাকাউন্টের জন্য অনুমান করা কঠিন এবং ডাটাবেস সার্ভারকে নৃশংস বল আক্রমণ এবং অভিধান আক্রমণ থেকে রক্ষা করার জন্য সেগুলিকে পর্যায়ক্রমে পরিবর্তন করতে হবে এবং দুর্বলতা আক্রমণ প্রতিরোধ করতে সর্বশেষ প্যাচে আপডেট করতে হবে,”ASEC পরামর্শ দিয়েছে৷