En pågående kampanj försöker distribuera FARGO (öppnas i en ny flik) ransomware till så många Microsoft SQL-servrar som möjligt, har experter upptäckt.
Enligt cybersäkerhetsforskare vid AhnLab Security Emergency Response Center (ASEC) går hotaktörer upp och letar efter MS-SQL-servrar som antingen är oskyddade eller skyddade med svaga lösenord som är lätta att knäcka.
Angripare ägnar sig åt brute force och ordboksattacker, förklarar forskarna vidare, vilket betyder att när de väl har siktet inställt på specifika servrar kommer de att försöka så många lösenordskombinationer som möjligt, tills en fastnar.
Läckor på Telegram
Slutpunkter med svaga lösenord kan nås på detta sätt, och när de väl får åtkomst till servrarna krypterar angriparna filerna och ger dem en .Fargo3-tillägg och släpper en lösennota med titeln FILE RECOVERY.txt.
Ransomware förbigår vissa Windows-systemkataloger under kryptering, inklusive startfiler, Tor Browser, Internet Explorer, användaranpassning och inställningar, felsökningsloggfil och miniatyrdatabas. I lösennotan hotar angriparna att lägga upp de stulna filerna på sin Telegram-kanal om inte deras krav uppfylls.
Microsoft SQL-servrar är värd för data som används av olika Internettjänster och applikationer, vilket gör dem väsentliga för den dagliga verksamheten i många organisationer. Som sådana är de ett främsta mål för olika cyberkriminella som vill distribuera skadlig programvara - öppnas i en ny flik - och stjäla känslig data.
TechRadar Pro har rapporterat bedragare som attackerar MS-SQL-servrar två gånger i år, en gång i april och en gång i maj. I april sågs en hotaktör släppa Cobalt Strike-beacons på sårbara servrar, medan man i maj såg skurkar attackera slutpunkter med brute force.
"Angripare uppnår fillös uthållighet genom att skapa verktyget sqlps.exe, ett PowerShell-omslag för att köra SQL-cmdlets, köra handskakningskommandon och ändra startläget för SQL-tjänsten till LocalSystem", avslöjade Lender-teamet. Microsofts säkerhetsintelligens vid den tiden. .
Denna attack, enligt BleepingComputer, är "mer katastrofal", eftersom den syftar till att få en snabbare fördel genom utpressning.
Via: BleepingComputer (öppnas i en ny flik)