Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Серверы Microsoft SQL накрыла новая волна атак с использованием вымогательского ПО (http://txgate.io:443/showthread.php?t=11491)

Artifact 03-04-2025 01:35 PM

Злоумышленники используют шифровальщик FARGO.
https://www.securitylab.ru/upload/ib...f9gizcsgbd.jpg
ИБ-специалисты из AhnLab Security Emergency Response Center (ASEC) утверждают, что FARGO, наряду с GlobeImposter, является одной из наиболее популярных вымогательских программ, используемых для атак на серверы MS-SQL.
Ранее этот вредонос был известен под двумя другими названиями:<ul><li>Mallox – т.к. шифровальщик добавлял расширение “.mallox” к файлам;</li>
</ul><ul><li>TargetCompany – так вредоноса назвали исследователи Avast в своем февральском отчете.</li>
</ul>По данным платформы ID Ransomware, сейчас семейство вымогательских программ FARGO достаточно активно.
https://www.securitylab.ru/upload/im...t-img(494).png
Активность FARGO за последние 30 дней (ID Ransomware).
Как говорят исследователи, цепочка заражения начинается с загрузки .NET файла процессом MS-SQL с помощью cmd.exe и powershell.exe. Загруженный файл подгружает дополнительные вредоносные программы, затем генерирует и запускает BAT-файл, который отключает определенный процессы и службы.
После этого вредонос внедряется в AppLaunch.exe и пытается удалить ключ реестра утилиты Raccine, служащей для ликвидации любых процессов, пытающихся удалить теневые копии в Windows с помощью vssadmin.exe. Кроме того, вредонос отключает восстановление и завершает все процессы, связанные с базами данных, чтобы сделать их содержимое доступным для шифрования.
https://www.securitylab.ru/upload/im...t-img(495).png
Список процессов, уничтожаемых FARGO.
Однако вредонос не шифрует некоторые программы и каталоги, чтобы не сделать систему полностью нерабочей. А файлы, которые возможно зашифровать, получают расширение ".Fargo3", после чего FARGO создает записку о выкупе ("RECOVERY FILES.txt").
https://www.securitylab.ru/upload/im...t-img(496).png
Записка о выкупе.
Жертвам угрожают сливом похищенных файлов в Telegram-канале операторов вымогательского ПО, если они не заплатят выкуп.
Эксперты предупреждают, что базы данных чаще всего взламываются атаками по словарю и перебором, т.е. риску подвержены учетные записи со слабыми паролями. Кроме того, злоумышленники используют известные уязвимости, которые могут быть не исправлены. Поэтому администраторам серверов MS-SQL рекомендуется установить все последние обновления безопасности для MS-SQL и заменить пароли на более надежные.


All times are GMT. The time now is 07:39 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.