一项正在进行的活动正在寻求分发 FARGO勒索软件(在新标签中打开)专家发现,尽可能多的 Microsoft SQL 服务器。
据 AhnLab 安全应急响应中心 (ASEC) 的网络安全研究人员称,威胁行为者正在加快步伐,寻找未受保护的 MS-SQL 服务器,或那些受弱且易于破解的密码保护的服务器。
研究人员进一步解释说,攻击者从事暴力和字典攻击,这意味着一旦他们将目光投向特定的服务器,他们就会尝试尽可能多的密码组合,直到有一个被粘住。
电报泄漏
可以通过这种方式访问具有弱密码的端点,一旦他们访问服务器,攻击者就会加密文件并给它们一个 .Fargo3 扩展名,并放置一个名为 RECOVERY FILES.txt 的赎金记录。
勒索软件在加密时会跳过几个 Windows 系统目录,包括启动文件、Tor 浏览器、Internet Explorer、用户自定义和设置、调试日志文件和缩略图数据库。在赎金记录中,攻击者威胁要在他们的 Telegram 频道上发布被盗文件,除非他们的要求得到满足。
Microsoft SQL 服务器托管各种 Internet 服务和应用程序使用的数据,使其成为许多组织日常运营的关键。因此,它们是各种希望部署恶意软件的网络犯罪分子的主要目标(在新标签中打开)并窃取敏感数据。
今年到目前为止,TechRadar Pro已经两次报告了攻击 MS-SQL 服务器的骗子,一次是在四月,一次是在五月。4 月,发现威胁行为者在易受攻击的服务器上放置 Cobalt Strike 信标,而在 5 月,观察到骗子对端点进行暴力攻击。
微软安全情报团队当时透露:“攻击者通过生成 sqlps.exe 实用程序(用于运行 SQL 构建的 cmdlet 的 PowerShell 包装器)来运行侦察命令并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。” .
BleepingComputer声称,这种攻击“更具灾难性”,因为它旨在通过勒索更快地获利。