FARGO Fidye Yazılımı Notu (Resim Kredisi: ASEC)
AhnLab Güvenlik Acil Müdahale Merkezi‘nin (ASEC) güvenlik analizi ekibinden yeni bir rapor ), güvenlik açığı bulunan Microsoft SQL sunucularını hedefleyen FARGO fidye yazılımını dağıtan yeni bir siber suç faaliyetini ortaya koyuyor.
ASEC,”GlobeImposter ile birlikte FARGO, güvenlik açığı bulunan MS-SQL sunucularını hedef alan önde gelen fidye yazılımlarından biridir”dedi.”Geçmişte,.mallox dosya uzantısını kullandığı için Mallox olarak da adlandırılıyordu.”
MS-SQL sunucuları Microsoft‘un diğer yazılım uygulamaları ve internet hizmetleri için veri depolamak ve almak için ilişkisel veritabanı yönetim sistemi. Bununla ilgili sorun çıkarmak, işletmeler için büyük problemler anlamına gelebilir.
ASEC’e göre, MS-SQL işlemi cmd.exe ve powershell.exe aracılığıyla bir.NET dosyası indirdiğinde enfeksiyon gelir. Bu dosya daha sonra ek kötü amaçlı yazılımları indirir ve yükler, bu da belirli süreçleri ve hizmetleri sonlandıran bir BAT dosyasının oluşturulması ve yürütülmesiyle sonuçlanır.
“Fidye yazılımının davranışı, normal bir Windows programı olan AppLaunch.exe’ye enjekte edilerek başlar.”ASEC açıkladı.”Belirli bir yoldaki bir kayıt defteri anahtarını silmeye çalışır ve kurtarma devre dışı bırakma komutunu yürütür ve belirli işlemleri kapatır.”
Araştırmacılar, fidye yazılımının dosyaları şifrelediğini ancak yollar ve uzantılar dahil bazılarını hariç tuttuğunu söylüyor. , sistemi kısmen erişilebilir hale getirmek için. “Karakteristik yönü, Globeimposter ile ilişkili bir dosya uzantısına sahip dosyalara bulaşmaması ve bu dışlama listesi yalnızca.FARGO.FARGO2 ve.FARGO3’ün aynı türdeki uzantılarını içermekle kalmıyor, aynı zamanda.FARGO4’ü de içeriyor. fidye yazılımının gelecekteki bir sürümü,” diye ekledi ASEC.
Bundan sonra, siber suçlular
a>,.Fargo3 uzantısını (ör. OriginalFileName.FileExtension.Fargo3) kullanarak şifrelenmiş dosyaları yeniden adlandırırken, kötü amaçlı yazılım tarafından oluşturulan fidye notu “RECOVERY FILES.txt” dosya adını kullanarak görünecektir. Mesajda, mağdurlar, sorunu kendi başlarına çözmek için üçüncü taraf yazılımları kullanırlarsa sistem dosyalarının kalıcı olarak silinmesine yönelik tehditler görecekler. Ayrıca siber suçlular, kurbanlar fidyeyi ödemeyi reddederse verileri kamuya açık alanda yayınlayacaklarını söylüyor.
ASEC, yama uygulanmamış güvenlik açıklarının yanı sıra MS-SQL ve MySQL sunucuları gibi veritabanı sunucularının genellikle hedef alındığını açıkladı. zayıf hesap kimlik bilgileri nedeniyle kaba kuvvet saldırıları ve sözlük saldırıları. Bununla analiz ekibi, sorunları basitçe ele alarak ve şifreleri koruma konusunda ekstra dikkatli davranarak bunun önlenebileceğini söyledi. ASEC, “MS-SQL sunucularının yöneticileri, veritabanı sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için hesapları için tahmin edilmesi zor şifreler kullanmalı ve bunları periyodik olarak değiştirmeli ve güvenlik açığı saldırılarını önlemek için en son yamaya güncellemelidir” dedi.
