BleepingComputer a informé les utilisateurs d’une cyberattaque comparable sur les serveurs Microsoft SQL en février. Une autre vague a eu lieu en juillet. Les deux attaques étaient basées sur Cobalt Strike.
Les serveurs Microsoft SQL fonctionnent généralement comme des systèmes de gestion de données pour les entreprises, conservant des données délicates liées à de nombreuses applications et services Internet. C’est l’un des principaux systèmes de gestion de bases de données qui alimente à la fois les applications à système unique et les applications massives.
Désordre dans la sécurité des serveurs SQL peut entraîner des événements importants. Les pirates ont récemment piraté des serveurs juste pour voler de la bande passante pour les services proxy, déclenchant une nouvelle vague d’attaques – une simple stratégie lucrative consistant à faire chanter et à menacer les propriétaires de bases de données.
Fargo ransomware
Les serveurs de base de données sont mis en danger en utilisant des attaques par force brute contre des qualifications faibles. De plus, les vulnérabilités des systèmes non corrigés augmentent les risques de piratage. Les victimes sont soumises à un chantage avec des fichiers divulgués jusqu’à ce qu’elles acceptent de payer la rançon.
Selon les experts en sécurité de l’ASEC, Fargo est l’un des types de rançongiciels les plus dangereux et les plus populaires parmi les agresseurs des serveurs Microsoft SQL. La variante du rançongiciel est également appelée Mallox, car elle a tendance à connecter l’extension.mallox lors du cryptage des fichiers.
Processus d’attaque
Fargo est un logiciel malveillant de cryptage des fichiers. L’infection commence par les procédures Microsoft SQL. Il met en péril les systèmes en téléchargeant un fichier .NET avec les extensions powershell.exe et cmd.exe. La charge utile récupère des logiciels malveillants supplémentaires lors de la production et de l’exécution d’un fichier BAT qui finit par mettre fin aux services et aux processus.
Le rançongiciel s’injecte automatiquement dans la procédure Windows AppLaunche.exe et tente de supprimer le secret du registre de l’ordinateur utilisé comme un vaccin anti-ransomware. Il exécute également des commandes de désactivation de récupération en mettant fin aux processus liés à la base de données. Pour éviter que le système ne devienne totalement irréalisable, cela n’affectera pas les sites de répertoires importants contenant les fichiers de démarrage, les navigateurs et la personnalisation des utilisateurs.
En fin de compte, le rançongiciel renomme les fichiers verrouillés en ‘. Fargo3’ tout en produisant une note de rançon appelée ‘RECOVERYFILES.txt’. Les spécialistes ont recommandé d’effectuer des qualifications solides et spéciales, de maintenir vos systèmes à jour et d’appliquer des points pour les vulnérabilités de sécurité.
Toute l’actualité en temps réel, est sur L’Entrepreneur
