Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los piratas informáticos atacan los servidores SQL de Microsoft con el ransomware FARGO
4 de octubre de 2022 - Equipo de relaciones públicas de TuxCare
Los servidores SQL de Microsoft están en el punto de mira del ransomware FARGO, según los investigadores del Centro de Respuesta a Emergencias de Seguridad de AhbLab (ASEC).
Los servidores MS-SQL se consideran sistemas de gestión de bases de datos que almacenan datos para servicios y aplicaciones de Internet.
FARGO está considerado como una de las tribus de ransomware más prominentes, que junto con GlobeImposter se concentran en servidores MS-SQL, y ha sido llamado en el pasado como "Mallox", porque solía añadir la extensión ".mallox" al archivo cifrado.
Durante la infección y ejecución de FARGO, los investigadores determinaron que la infección del ransomware comienza con el proceso MS-SQL en el ordenador comprometido, que descarga un archivo .NET utilizando cmd.exe y powershell.exe. A continuación, la carga útil obtiene malware adicional, incluido el casillero, y genera y ejecuta un archivo BAT, que finaliza procesos y servicios específicos.
A continuación, la carga útil del ransomware se inyecta en AppLaunch.exe, un proceso legítimo de Windows. Intenta eliminar la clave de registro de la "vacuna" de ransomware de código abierto llamada Raccine. El malware ejecuta el comando de desactivación de recuperación y finaliza los procesos relacionados con la base de datos, para que su contenido esté disponible para el cifrado.
La cepa del ransomware FARGO excluye algunos programas y directorios del cifrado. El objetivo de esta medida es evitar que el sistema comprometido quede completamente inutilizable. Quedan excluidos del cifrado varios directorios del sistema Microsoft Windows, los archivos de arranque, Tor Browser, Internet Explorer, las personalizaciones y configuraciones del usuario, el archivo de registro de depuración o la base de datos de miniaturas.
Una vez finalizado el proceso de cifrado, los archivos bloqueados se renombran con la extensión ".Fargo3" y el malware genera la nota de rescate ("RECOVERY FILES.txt").
Como medida de seguridad, ahora es importante que los administradores de MS SQL Server se aseguren de utilizar contraseñas fuertes y únicas para proteger sus sistemas, es importante que mantengan los servidores actualizados instalando las últimas correcciones de vulnerabilidades de seguridad.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
