La nouvelle distribution de FARGO ransomware cible les serveurs Microsoft SQL vulnérables
Agence web » Actualités du digital » La nouvelle distribution de FARGO ransomware cible les serveurs Microsoft SQL vulnérables

La nouvelle distribution de FARGO ransomware cible les serveurs Microsoft SQL vulnérables

Note sur le rançongiciel FARGO (Crédit image : ASEC)

Microsoft est constamment la cible de attaques cybercriminelleset un rapport récent de l’équipe d’analyse de la sécurité de Centre d’intervention d’urgence de sécurité AhnLab (ASEC) révèle la distribution du rançongiciel FARGO ciblant les serveurs Microsoft SQL vulnérables.

« Avec GlobeImposter, FARGO est l’un des principaux ransomwares qui ciblent les serveurs MS-SQL vulnérables », déclare l’ASEC. « Dans le passé, il s’appelait aussi le Mallox car il utilisait l’extension de fichier .mallox. »

Les serveurs MS-SQL font référence à Microsoftsystème de gestion de base de données relationnelle de pour stocker et récupérer des données pour d’autres applications logicielles et services Internet. Avec cela, lui infliger des problèmes peut signifier de gros problèmes pour les entreprises.

Selon l’ASEC, l’infection survient lorsque le processus MS-SQL télécharge un fichier .NET via cmd.exe et powershell.exe. Ce fichier télécharge et charge ensuite des logiciels malveillants supplémentaires, ce qui entraîne la génération et l’exécution d’un fichier BAT qui met fin à des processus et services spécifiques.

« Le comportement du ransomware commence par être injecté dans AppLaunch.exe, un programme Windows normal », explique l’ASEC. « Il tente de supprimer une clé de registre sur un certain chemin, exécute la commande de désactivation de récupération et ferme certains processus. »

Les chercheurs disent que le ransomware crypte les fichiers mais en exclut certains, y compris les chemins et les extensions, pour rendre le système partiellement accessible. « L’aspect caractéristique est qu’il n’infecte pas les fichiers avec une extension de fichier associée à Globeimposter et cette liste d’exclusion n’inclut pas seulement le même type d’extensions de .FARGO .FARGO2 et .FARGO3 mais inclut également .FARGO4, qui est considéré comme une future version du rançongiciel », explique l’ASEC.

Après cela, les cybercriminels renommeront les fichiers cryptés en utilisant l’extension .Fargo3 (par exemple, OriginalFileName.FileExtension.Fargo3), tandis que la demande de rançon générée par le logiciel malveillant apparaîtra en utilisant le nom de fichier « RECOVERY FILES.txt ». Dans le message, les victimes verront des menaces de suppression permanente du fichier de leur système si elles utilisent un logiciel tiers pour le résoudre par elles-mêmes. De plus, les cybercriminels disent qu’ils publieraient les données dans le domaine public si les victimes refusaient de payer la rançon.

Outre les vulnérabilités non corrigées, l’ASEC a expliqué que les serveurs de bases de données tels que les serveurs MS-SQL et MySQL sont souvent la cible d’attaques par force brute et d’attaques par dictionnaire en raison de la faiblesse des identifiants de compte. Avec cela, l’équipe d’analyse a déclaré qu’il pourrait être évité en résolvant simplement les problèmes et en appliquant une prudence supplémentaire dans la protection des mots de passe. « Les administrateurs de serveurs MS-SQL doivent utiliser des mots de passe difficiles à deviner pour leurs comptes et les modifier périodiquement pour protéger le serveur de base de données contre les attaques par force brute et les attaques par dictionnaire, et mettre à jour le dernier correctif pour empêcher les attaques de vulnérabilité », a suggéré l’ASEC.

★★★★★