Os cibercriminosos que empunham o ransomware FARGO (também conhecido como Mallox, também conhecido como TargetCompany) têm como alvo servidores Microsoft SQL (MS SQL), alertou a equipe de análise ASEC da AhnLab.
Eles não identificaram como os invasores estão obtendo acesso aos servidores visados, mas observaram que os ataques típicos direcionados a servidores de banco de dados incluem ataques de força bruta e de dicionário destinados a descobrir as senhas de contas existentes e mal protegidas.
“E pode haver ataques de vulnerabilidade em sistemas que não tenham um patch de vulnerabilidade aplicado”, acrescentaram.
Servidores de banco de dados são alvos regulares
O Microsoft SQL Server é um popular servidor de banco de dados e sistema de gerenciamento, cujo principal objetivo é armazenar dados e entregá-los quando solicitados por vários tipos de aplicativos. Outras soluções de servidor de banco de dados amplamente utilizadas incluem MySQL , Redis , PostgreSQL e MongoDB .
Os servidores MS SQL são frequentemente visados e comprometidos por invasores com vários objetivos em mente: torná-los parte de uma botnet de criptomineração , transformá-los em servidores proxy que podem ser explorados para fins mais ou menos maliciosos e assim por diante.
Desta vez, os ataques podem resultar em um efeito mais imediato, de longo alcance e destrutivo nas organizações que executam esses servidores.
Como o ataque se desenrola
Depois que o servidor MS SQL é comprometido, os invasores fazem o download de um arquivo .NET via Prompt de Comando (cmd.exe) e PowerShell (powershell.exe), que por sua vez baixa e carrega malware adicional.
“O malware carregado gera e executa um arquivo BAT que encerra certos processos e serviços, no diretório %temp%”, explicaram os pesquisadores .
“O comportamento do ransomware começa por ser injetado no AppLaunch.exe, um programa normal do Windows. Ele tenta excluir uma chave de registro em um determinado caminho e executa o comando de desativação de recuperação e fecha determinados processos.
O ransomware criptografa alguns arquivos e evita outros, incluindo arquivos com uma extensão associada às suas próprias atividades (.FARGO, .FARGO2, etc.) e a do GlobeImposter, outra ameaça de ransomware direcionada a servidores MS SQL vulneráveis.
Por fim, mostra a nota de resgate:
Prevenção de ataques
Embora os arquivos criptografados por algumas das versões anteriores do ransomware Mallox/TargetCompany possam ser descriptografados , atualmente não há descriptografador gratuito para arquivos criptografados pelo FARGO.
Para evitar ser vítima dessa e de outras ameaças provenientes de servidores MS SQL comprometidos, os administradores são aconselhados a corrigir regularmente suas instalações e usar senhas complexas e exclusivas para proteger suas contas.
FONTE: HELPNET SECURITY