Devam eden bir kampanya, FARGO fidye yazılımını dağıtmak istiyor (yeni sekmede açılır) uzmanlar, mümkün olduğu kadar çok Microsoft SQL sunucusuna
AhnLab Güvenlik Acil Müdahale Merkezi’ndeki (ASEC) siber güvenlik araştırmacılarına göre, tehdit aktörleri hız kazanıyor, korumasız MS-SQL sunucuları veya zayıf ve kolayca kırılan parolalarla korunan sunucular arıyor.
Saldırganlar kaba kuvvet ve sözlük saldırıları ile meşguller, araştırmacılar ayrıca açıklıyorlar, yani belirli sunuculara bir kez odaklandıklarında, biri yapışana kadar mümkün olduğunca çok şifre kombinasyonu deneyecekler.
Telegram’daki Sızıntılar
Zayıf parolalara sahip uç noktalara bu şekilde erişilebilir ve sunuculara eriştiklerinde saldırganlar dosyaları şifreleyip onlara .Fargo3 uzantısı verir ve RECOVERY FILES.txt başlıklı bir fidye notu yerleştirir.
Fidye yazılımı, şifreleme sırasında önyükleme dosyaları, Tor Tarayıcı, Internet Explorer, kullanıcı özelleştirme ve ayarları, hata ayıklama günlük dosyası ve küçük resim veritabanı dahil olmak üzere birkaç Windows sistem dizinini atlar. Fidye notunda saldırganlar, talepleri karşılanmadıkça çalınan dosyaları Telegram kanallarında yayınlamakla tehdit ediyor.
Microsoft SQL sunucuları, çeşitli internet hizmetleri ve uygulamaları tarafından kullanılan verileri barındırarak, onları birçok kuruluşun günlük operasyonları için çok önemli hale getirir. Bu nedenle, kötü amaçlı yazılım dağıtmak isteyen çeşitli siber suçlular için büyük bir hedeftirler. (yeni sekmede açılır) ve hassas verileri çalmak.
Bu yıla kadar, TechRadar Pro MS-SQL sunucularına saldıran dolandırıcılar hakkında bir kez Nisan ayında ve bir kez Mayıs ayında olmak üzere iki kez rapor verdi. Nisan ayında, bir tehdit aktörünün savunmasız sunuculara Kobalt Strike işaretçileri düşürdüğü tespit edilirken, Mayıs ayında, dolandırıcıların uç noktalara kaba kuvvetle saldırdığı gözlemlendi.
Microsoft Güvenlik İstihbaratı ekibi, o sırada “Saldırganlar, SQL tarafından oluşturulmuş cmdlet’leri çalıştırmak, keşif komutlarını çalıştırmak ve SQL hizmetinin başlangıç modunu LocalSystem olarak değiştirmek için bir PowerShell sarmalayıcısı olan sqlps.exe yardımcı programını oluşturarak dosyasız kalıcılık elde ediyor” dedi. .
Bu saldırı, BleeBilgisayar şantaj yoluyla daha hızlı bir kâr elde etmeyi amaçladığından “daha felaket”tir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)