Experten haben herausgefunden, dass eine laufende Kampagne versucht, die FARGO-Ransomware (wird in einem neuen Tab geöffnet) an so viele Microsoft SQL-Server wie möglich zu verteilen.
Laut Cybersicherheitsforschern des AhnLab Security Emergency Response Center (ASEC) verstärken sich Bedrohungsakteure und suchen nach MS-SQL-Servern, die ungeschützt oder mit schwachen, leicht zu knackenden Passwörtern geschützt sind.
Angreifer führen Brute-Force- und Wörterbuchangriffe durch, erklären die Forscher weiter, was bedeutet, dass sie, sobald sie bestimmte Server ins Visier genommen haben, so viele Passwortkombinationen wie möglich ausprobieren werden, bis eine hängen bleibt.
Lecks auf Telegramm
Auf Endpunkte mit schwachen Passwörtern kann auf diese Weise zugegriffen werden, und sobald sie Zugriff auf die Server erhalten, verschlüsseln die Angreifer die Dateien und geben ihnen eine .Fargo3-Erweiterung und hinterlassen eine Lösegeldforderung mit dem Titel FILES RECOVERY.txt.
Die Ransomware umgeht während der Verschlüsselung einige Windows-Systemverzeichnisse, einschließlich Startdateien, Tor-Browser, Internet Explorer, Benutzeranpassungen und -einstellungen, Debug-Protokolldatei und Thumbnail-Datenbank. In der Lösegeldforderung drohen die Angreifer damit, die gestohlenen Dateien auf ihrem Telegram-Kanal zu posten, sofern ihre Forderungen nicht erfüllt werden.
Microsoft SQL-Server hosten Daten, die von verschiedenen Internetdiensten und -anwendungen verwendet werden, was sie für den täglichen Betrieb vieler Organisationen unverzichtbar macht. Daher sind sie ein Hauptziel für verschiedene Cyberkriminelle, die versuchen, Malware einzusetzen (wird in einem neuen Tab geöffnet) und vertrauliche Daten zu stehlen.
TechRadar Pro hat in diesem Jahr bisher zweimal Betrüger gemeldet, die MS-SQL-Server angegriffen haben, einmal im April und einmal im Mai. Im April wurde ein Bedrohungsakteur dabei gesehen, wie er Cobalt-Strike-Beacons auf gefährdeten Servern startete, während im Mai Gauner dabei beobachtet wurden, wie sie Endpunkte mit roher Gewalt angriffen.
„Angreifer erreichen eine dateilose Persistenz, indem sie das Dienstprogramm sqlps.exe erstellen, einen PowerShell-Wrapper zum Ausführen von SQL-Cmdlets, zum Ausführen von Aufklärungsbefehlen und zum Ändern des Startmodus des SQL-Dienstes in LocalSystem“, verriet das Sicherheitsteam der damaligen Microsoft-Sicherheitsinformationen . .
Laut BleepingComputer ist dieser Angriff „katastrophaler“, da er darauf abzielt, durch Erpressung schneller Gewinne zu erzielen.
Über: BleepingComputer (Öffnet in einem neuen Tab)