Microsoft SQL Sunucularını Hedefleyen FARGO Fidye Yazılımı
AhnLab’ın ASEC analiz ekibi, FARGO (Mallox, TargetCompany olarak da bilinir) fidye yazılımını kullanan siber suçluların Microsoft SQL (MS SQL) sunucularını hedef aldığı konusunda uyardı.
Saldırganların hedeflenen sunuculara nasıl eriştiğini tam olarak belirlemediler, ancak veritabanı sunucularını hedef alan tipik saldırıların kaba kuvvet ve mevcut, zayıf güvenlikli hesapların şifrelerini ele geçirmeyi amaçlayan sözlük saldırılarını içerdiğini belirttiler.
“Ayrıca, güvenlik açığı yaması uygulanmayan sistemlerde güvenlik açığı saldırıları olabilir” diye eklediler.
Veritabanı sunucuları normal hedeflerdir. MS SQL sunucuları genellikle çeşitli amaçları göz önünde bulunduran saldırganlar tarafından hedeflenir ve tehlikeye atılır. Amaç onları bir kripto madenciliği botnetinin parçası yapmak, az çok kötü amaçlarla kullanılabilecek proxy sunucularına dönüştürmektir.
Saldırı nasıl ortaya çıkıyor ?
MS SQL sunucusunun güvenliği ihlal edildikten sonra, saldırganlar komut İstemi (cmd.exe) ve powershell (powershell.exe) aracılığıyla bir .NET dosyası indirmesini sağlar ve bu da ilave kötü amaçlı yazılımları indirir ve yükler.
Ayrıca yüklenen kötü amaçlı yazılım, %temp% dizininde belirli süreçleri ve hizmetleri kapatan bir BAT dosyası oluşturur ve yürütür.
Fidye yazılımının davranışı, normal bir Windows programı olan AppLaunch.exe’ye enjekte edilerek başlar. Belirli bir yoldaki bir kayıt defteri anahtarını silmeye çalışır ve kurtarma devre dışı bırakma komutunu yürütür ve belirli işlemleri kapatır.
Fidye yazılımı, kendi faaliyetleriyle (.FARGO, .FARGO2, vb.) ve savunmasız MS SQL sunucularını hedef alan başka bir fidye yazılımı tehdidi olan GlobeImposter’ın uzantılarıyla ilişkili dosyalar da dahil olmak üzere bazı dosyaları şifreler ve diğerlerinden kaçınır.
Son olarak, aşağıdaki fidye notunu gösterir:
Saldırının önlemesi :
Mallox/TargetCompany fidye yazılımının önceki sürümlerinin bazıları tarafından şifrelenen dosyaların şifresi çözülebilirken, şu anda FARGO şifreli dosyalar için ücretsiz bir şifre çözücü bulunmamaktadır.
Bu ve güvenliği ihlal edilmiş MS SQL sunucuları aracılığıyla gelen diğer tehditlerin kurbanı olmayı önlemek için, yöneticilerin kurulumlarını düzenli olarak düzeltmeleri ve hesaplarını korumak için karmaşık, benzersiz parolalar kullanmaları önerilir.
Fargo Fidye Yazılımı Hakkında :
FARGO, TargetCompany fidye yazılımının yeni bir çeşididir. Eskiden .mallox dosya uzantısı kullandığından, geçmişte Mallox olarak da biliniyordu. Haziran 2021’in ortalarında, bu kripto fidye yazılımı çalışmaya başladı. Küresel olarak yayılabilir ve İngilizce konuşan insanlara yöneliktir.
Fidye yazılımı, ChaCha20, AES-128 ve Curve25519 algoritmalarının bir kombinasyonunu kullanarak kurbanın bilgisayarında bulunan verileri şifreler. Ardından, verilerin şifresini çözmek için Bitcoin ile ödeme talep eden aşağıdaki gibi bir mesaj görüntüler.
FARGO fidye yazılımı, .doc, .docx, .xls ve .pdf gibi kritik üretkenlik dosyalarına ek olarak, bilgisayarınızda resimler, filmler ve diğer medyaları arayacaktır. Dosyaları açmanızı engellemek için fidye yazılımı onları şifreler ve uzantılarını .FARGO’yu içerecek şekilde değiştirir.
