Support technique
Documentation
Connexion
Nous contacter
Des pirates ciblent les serveurs Microsoft SQL avec le ransomware FARGO
4 octobre 2022 - L'équipe de relations publiques de TuxCare
Selon les chercheurs du AhbLab Security Emergency Response Center (ASEC), les serveurs Microsoft SQL sont la cible du ransomware FARGO.
Les serveurs MS-SQL sont considérés comme des systèmes de gestion de base de données qui stockent les données pour les services et les applications Internet.
FARGO est considéré comme l'une des tribus de ransomware les plus importantes, qui, avec GlobeImposter, se concentre sur les serveurs MS-SQL. Il a été appelé par le passé "Mallox", car il avait l'habitude d'ajouter l'extension ".mallox" au fichier crypté.
Pendant l'infection et l'exécution de FARGO, les chercheurs ont déterminé que l'infection par le ransomware commence par le processus MS-SQL sur l'ordinateur compromis, qui télécharge un fichier .NET à l'aide de cmd.exe et powershell.exe. La charge utile récupère ensuite d'autres logiciels malveillants, dont le casier, et génère et exécute un fichier BAT, qui met fin à des processus et services spécifiques.
Ensuite, la charge utile du ransomware s'injecte dans AppLaunch.exe, un processus Windows légitime. Elle tente de supprimer la clé de registre du "vaccin" ransomware open source nommé Raccine. Le malware exécute la commande de désactivation de la récupération et met fin aux processus liés à la base de données, afin de rendre leur contenu disponible pour le cryptage.
La souche FARGO du ransomware exclut certains logiciels et répertoires du chiffrement. L'objectif de cette mesure est d'éviter que le système compromis ne devienne complètement inutilisable. Sont exclus du chiffrement plusieurs répertoires du système Microsoft Windows, les fichiers d'amorçage, Tor Browser, Internet Explorer, les personnalisations et paramètres de l'utilisateur, le fichier journal de débogage ou la base de données des vignettes.
Une fois le processus de cryptage terminé, les fichiers verrouillés sont renommés avec l'extension ".Fargo3" et le malware génère la note de rançon ("RECOVERY FILES.txt").
Par mesure de sécurité, il est désormais important que les administrateurs de serveurs MS SQL s'assurent qu'ils utilisent des mots de passe forts et uniques pour protéger leurs systèmes. Il est important qu'ils maintiennent les serveurs à jour en installant les derniers correctifs pour les vulnérabilités de sécurité.
Les sources de cet article comprennent un article de BleepingComputer.
