ASEC (AhnLab Güvenlik Acil Müdahale Merkezi) analiz ekibindeki siber güvenlik uzmanları, kısa süre önce saldırılara açık Microsoft SQL sunucularının yeni bir saldırı dalgasında FARGO adlı fidye yazılımı tarafından hedef alındığı konusunda uyardı.
MS-SQL sunucusu, internet servisleri ve uygulamaları ile ilgili verileri depolamak ve yönetmek için kullanılan bir sistemdir. Bozulmaları durumunda işletmeler için ciddi sonuçlar doğurabilir.
Görünüşe göre yeni saldırı dalgası daha yıkıcı, veri tabanı sahiplerini avlamayı ve hızlı bir kar elde etmek için onları veritabanlarından kilitlemeyi hedefliyor.
FARGO Fidye Yazılımı
GlobeImposter gibi popüler fidye yazılımı programları arasında, FARGO fidye yazılımı, savunmasız olan Microsoft SQL Server veritabanlarını hedef almasıyla da bilinir. Bu fidye yazılımı, .mallox dosya uzantısına sahip olması nedeniyle geçmişte Mallox olarak da biliniyordu.
Bu yılın Şubat ayında Avast araştırmacıları, bu virüs tarafından şifrelenen bazı dosyaların bazı durumlarda ücretsiz olarak kurtarılabileceğini vurgulayarak, “TargetCompany” adlı aynı tür olduğuna dikkat çekti.
ID Ransomware platformunda önemli sayıda FARGO dosya şifreleme kötü amaçlı yazılım saldırısı rapor edilmiştir, bu, fidye yazılımının hala etkin olduğu anlamına gelir.
Enfeksiyon Zinciri
MS-SQL, cmd kullanarak .Net tabanlı bir dosyayı sisteme indirir.[.]exe ve powershell[.]exe kendi süreçleri aracılığıyla.
Bu yöntemi kullanarak, belirli bir konumdan ek kötü amaçlı yazılımlar indirilecek ve yüklenecektir.
Belirli işlemlerin ve hizmetlerin kapatılabileceği %temp% dizinine yüklenen ve yürütülen kötü amaçlı yazılım tarafından bir BAT dosyası oluşturulur.
Fidye yazılımının davranışı, AppLaunch’a sızmasıyla başlar.[.]Windows’ta standart bir program olan exe. Bunu takiben kurtarma deaktivasyon komutu yürütülür ve belirli bir yoldaki kayıt defteri anahtarı silinmeye çalışılır ve bazı işlemler kapatılır.
Fidye notu
Şifreleme işlemi biter bitmez kilitli dosyalar, ünitenin kendisi tarafından eklenen “.Fargo3” uzantısı ile yeniden adlandırılır. Daha sonra, fidye notu kötü amaçlı yazılım tarafından oluşturulur.
Tehdit aktörü, fidyeyi ödemek için mağdurları, talep edilen fidyeyi ödemezlerse çalınan dosyalarını Telegram kanallarına sızdırmakla tehdit ediyor.
Hesap kimlik bilgilerinin kötü yönetildiği sistemlerde, kaba kuvvet saldırıları ve sözlük saldırıları, veritabanı sunucularını hedef alan tipik saldırı türleridir.
Bir siber suçlu, önceki yönteme alternatif olarak, hedef tarafından yama uygulanmamış bilinen güvenlik açıklarından yararlanmaya da çalışabilir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Her zaman güçlü ve benzersiz şifreler kullanın.
- Makineyi güncel tuttuğunuzdan emin olun.
- Parolaları periyodik olarak değiştirin.
- Her zaman en son yamaya güncelleyin.
Sıfır Güven Ağı ile Siber Güvenlik – Ücretsiz E-Kitap İndirin