سرورهای ضعیف مایکروسافت زیر ضرب باج افزارها
هکرها با انتشار باج افزار فارگو سرورهای ضعیف مایکروسافت را هدف حملات خود قرار میدهند.
به گزارش سایبربان؛ گزارش اخیر تیم تحلیل امنیتی مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان (ASEC)، خبر از یک فعالیت مجرمانه سایبری جدید دارد که باج افزار فارگو (FARGO) را پخش کرده تا سرورهای آسیبپذیر مایکروسافت اس کیو ال (MS-SQL) را هدف قرار میدهد.
مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان میگوید: در کنار گلوب ایمپوستر (GlobeImposter)، فارگو نیز یکی از باج افزارهای برجستهای است که سرورهای آسیبپذیر مایکروسافت اس کیو ال را هدف قرار میدهد. در گذشته به آن مالوکس (Mallox) نیز میگفتند زیرا از پسوند.mallox استفاده میکرده است.
سرورهای مایکروسافت اس کیو ال به سیستم مدیریت پایگاه داده رابطهای مایکروسافت برای ذخیره و بازیابی دادهها برای سایر برنامههای کاربردی نرمافزاری و خدمات اینترنتی اشاره دارد. با این اوصاف، وارد شدن خسارت به آن میتواند به معنای مشکلات بزرگی برای کسبوکارها باشد.
به گفته مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان، آلودگی زمانی ایجاد میشود که مایکروسافت اس کیو ال یک فایل دات نت را از طریق cmd.exe و powershell.exe دانلود میکند. سپس این بدافزار را دانلود و بارگیری میکند و درنتیجه یک فایل BAT تولید و اجرا میشود که منجر به تمام شدن فرآیندها و خدمات خاصی خواهد شد.
مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح میدهد: کار این باج افزار، با آلوده کردن AppLaunch.exe، یک برنامه معمولی ویندوز، آغاز میشود. این باج افزار سعی میکند یک کلید رجیستری را در یک مسیر مشخص حذف کند و دستور غیرفعال سازی بازیابی را اجرا کند و فرآیندهای خاصی را ببندد.
محققان میگویند این باج افزار فایلها را رمزگذاری میکند، اما برخی از آنها، ازجمله مسیرها و برنامههای افزودنی را حذف میکند تا سیستم تا حدی قابلدسترس باشد. ویژگی مشخصه این باج افزار این است که فایلهای با پسوند فایل مرتبط با گلوب ایمپوستر را آلوده نمیکند و این لیست حذف نهتنها شامل همان نوع پسوندهای.FARGO.FARGO2 و.FARGO3 میشود؛ بلکه شامل.FARGO4 نیز هست که تصور میشود یک نسخه آتی از باج افزار باشد.
پسازاین، مجرمان سایبری با استفاده از پسوند.Fargo3 نام فایلهای رمزگذاری شده را تغییر میدهند؛ درحالیکه یادداشت باج تولیدشده توسط بدافزار با استفاده از نام فایل "RECOVERY FILES.txt" ظاهر میشود. در این پیام، قربانیان با تهدیدهایی مبنی بر حذف دائمی فایل سیستم خود در صورت استفاده از نرمافزاری دیگر برای رفع آن، مواجه خواهند شد. علاوه بر این، مجرمان سایبری میگویند درصورتیکه قربانیان از پرداخت باج امتناع کنند، دادهها را در معرض دید عموم قرار خواهند داد.
جدا از آسیبپذیریهای اصلاحنشده، مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح میدهد که سرورهای پایگاه داده، اغلب به دلیل رمز عبور ضعیف حسابها، هدف خوبی برای حملات هستند. با این کار، تیم تجزیهوتحلیل گفت که میتوان با پرداختن به مشکلات و اعمال احتیاط بیشتر در محافظت از رمزهای عبور از آن جلوگیری کرد. این مرکز همچنین پیشنهاد میکند که مدیران سرورهای مایکروسافت باید از رمزهای عبوری استفاده کنند که حدس زدن آنها دشوار باشد و بهطور دورهای آنها را تغییر دهند تا از سرور پایگاه داده در برابر حملات محافظت کنند و برای جلوگیری از آنها، به آخرین وصلههای امنیتی موجود، بهروزرسانی کنند.
- ۰۱/۰۷/۰۶