Redazione RHC : 29 Settembre 2022 08:00
Gli specialisti della sicurezza delle informazioni dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO, insieme a GlobeImposter, sono i ransomware più popolari utilizzati per attaccare i server MS-SQL.
In precedenza, questo malware era conosciuto con altri due nomi:
Secondo la piattaforma ID Ransomware, la famiglia di ransomware FARGO è attualmente piuttosto attiva.
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo i ricercatori, la catena di infezione inizia con il download del file .NET da parte del processo MS-SQL utilizzando cmd.exe e powershell.exe. Il file scaricato carica malware aggiuntivo, quindi genera ed esegue un file BAT che disabilita determinati processi e servizi.
Successivamente, il malware si inietta in AppLaunch.exe e tenta di eliminare la chiave di registro, che viene utilizzata per eliminare tutti i processi che tentano di cancellare le copie shadow in Windows utilizzando vssadmin.exe.
Inoltre, il malware disabilita il ripristino e termina tutti i processi associati ai database per rendere il loro contenuto disponibile per la crittografia.
Tuttavia, il malware non crittografa alcuni programmi e directory per non rendere il sistema completamente inoperativo.
E i file che possono essere crittografati ottengono l’estensione “.Fargo3”, dopo di che FARGO crea una richiesta di riscatto (“RECOVERY FILES.txt”).
Le vittime sono minacciate di pubblicare i file rubati sul canale Telegram degli operatori di ransomware se non pagano un riscatto.
Gli esperti avvertono che i database sono molto spesso compromessi da dizionario e attacchi di forza bruta. Gli account con password deboli sono a rischio. Inoltre, gli aggressori sfruttano vulnerabilità note che potrebbero non essere corrette.
Pertanto, si consiglia agli amministratori del server MS-SQL di installare tutti gli aggiornamenti di sicurezza più recenti per MS-SQL e di modificare le password con password più efficaci.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009