Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker zielen mit FARGO-Ransomware auf Microsoft SQL-Server
4. Oktober 2022. TuxCare PR Team
Laut den Forschern des AhbLab Security Emergency Response Center (ASEC) werden Microsoft SQL-Server von der Ransomware FARGO angegriffen.
MS-SQL-Server gelten als Datenbankmanagementsysteme, die Daten für Internetdienste und Anwendungen speichern.
FARGO gilt als einer der prominentesten Ransomware-Stämme, der sich zusammen mit GlobeImposter auf MS-SQL-Server konzentriert und in der Vergangenheit als "Mallox" bezeichnet wurde, weil er die Erweiterung ".mallox" an die verschlüsselte Datei anhängte.
Während der Infektion und Ausführung von FARGO stellten die Forscher fest, dass die Ransomware-Infektion mit dem MS-SQL-Prozess auf dem angegriffenen Computer beginnt, der eine .NET-Datei mit cmd.exe und powershell.exe herunterlädt. Die Nutzlast holt sich dann zusätzliche Malware, einschließlich des Schließfachs, und generiert und führt eine BAT-Datei aus, die bestimmte Prozesse und Dienste beendet.
Danach injiziert sich die Ransomware-Nutzlast in AppLaunch.exe, einen legitimen Windows-Prozess. Sie versucht, den Registrierungsschlüssel für den Open-Source-Ransomware-"Impfstoff" namens Raccine zu löschen. Die Malware führt den Befehl zur Deaktivierung der Wiederherstellung aus und beendet datenbankbezogene Prozesse, um deren Inhalte für die Verschlüsselung verfügbar zu machen.
Der FARGO-Ransomware-Stamm schließt einige Software und Verzeichnisse von der Verschlüsselung aus. Ziel dieser Maßnahme ist es, zu verhindern, dass das kompromittierte System vollständig unbrauchbar wird. Ausgeschlossen von der Verschlüsselung sind mehrere Microsoft Windows-Systemverzeichnisse, die Boot-Dateien, Tor Browser, Internet Explorer, Benutzeranpassungen und -einstellungen, die Debug-Log-Datei oder die Thumbnail-Datenbank.
Sobald der Verschlüsselungsprozess abgeschlossen ist, werden die gesperrten Dateien mit der Erweiterung ".Fargo3" umbenannt, und die Malware erstellt die Lösegeldforderung ("RECOVERY FILES.txt").
Als Sicherheitsmaßnahme ist es jetzt für MS SQL-Server-Administratoren wichtig, sicherzustellen, dass sie starke und eindeutige Passwörter verwenden, um ihre Systeme zu schützen, und dass sie die Server auf dem neuesten Stand halten, indem sie die neuesten Korrekturen für Sicherheitslücken installieren.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
