سرورهای ضعیف مایکروسافت زیر ضرب باج افزارها
سرورهای ضعیف مایکروسافت زیر ضرب باج افزارها
هکرها با انتشار باج افزار فارگو سرورهای ضعیف مایکروسافت را هدف حملات خود قرار می‌دهند.

به گزارش سایبربان؛ گزارش اخیر تیم تحلیل امنیتی مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان (ASEC)، خبر از یک فعالیت مجرمانه سایبری جدید دارد که باج افزار فارگو (FARGO) را پخش کرده تا سرورهای آسیب‌پذیر مایکروسافت اس کیو ال (MS-SQL) را هدف قرار می‌دهد.

مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان می‌گوید: در کنار گلوب ایمپوستر (GlobeImposter)، فارگو نیز یکی از باج افزارهای برجسته‌ای است که سرورهای آسیب‌پذیر مایکروسافت اس کیو ال را هدف قرار می‌دهد. در گذشته به آن مالوکس (Mallox) نیز می‌گفتند زیرا از پسوند.mallox استفاده می‌کرده است.

سرورهای مایکروسافت اس کیو ال به سیستم مدیریت پایگاه داده رابطه‌ای مایکروسافت برای ذخیره و بازیابی داده‌ها برای سایر برنامه‌های کاربردی نرم‌افزاری و خدمات اینترنتی اشاره دارد. با این اوصاف، وارد شدن خسارت به آن می‌تواند به معنای مشکلات بزرگی برای کسب‌وکارها باشد.

به گفته مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان، آلودگی زمانی ایجاد می‌شود که مایکروسافت اس کیو ال یک فایل دات نت را از طریق cmd.exe و powershell.exe دانلود می‌کند. سپس این بدافزار را دانلود و بارگیری می‌کند و درنتیجه یک فایل BAT تولید و اجرا می‌شود که منجر به تمام شدن فرآیندها و خدمات خاصی خواهد شد.

مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح می‌دهد: کار این باج افزار، با آلوده کردن AppLaunch.exe، یک برنامه معمولی ویندوز، آغاز می‌شود. این باج افزار سعی می‌کند یک کلید رجیستری را در یک مسیر مشخص حذف کند و دستور غیرفعال سازی بازیابی را اجرا کند و فرآیندهای خاصی را ببندد.

محققان می‌گویند این باج افزار فایل‌ها را رمزگذاری می‌کند، اما برخی از آن‌ها، ازجمله مسیرها و برنامه‌های افزودنی را حذف می‌کند تا سیستم تا حدی قابل‌دسترس باشد. ویژگی مشخصه این باج افزار این است که فایل‌های با پسوند فایل مرتبط با گلوب ایمپوستر را آلوده نمی‌کند و این لیست حذف نه‌تنها شامل همان نوع پسوندهای.FARGO.FARGO2 و.FARGO3 می‌شود؛ بلکه شامل.FARGO4 نیز هست که تصور می‌شود یک نسخه آتی از باج افزار باشد.

پس‌ازاین، مجرمان سایبری با استفاده از پسوند.Fargo3 نام فایل‌های رمزگذاری شده را تغییر می‌دهند؛ درحالی‌که یادداشت باج تولیدشده توسط بدافزار با استفاده از نام فایل “RECOVERY FILES.txt” ظاهر می‌شود. در این پیام، قربانیان با تهدیدهایی مبنی بر حذف دائمی فایل سیستم خود در صورت استفاده از نرم‌افزاری دیگر برای رفع آن، مواجه خواهند شد. علاوه بر این، مجرمان سایبری می‌گویند درصورتی‌که قربانیان از پرداخت باج امتناع کنند، داده‌ها را در معرض دید عموم قرار خواهند داد.

جدا از آسیب‌پذیری‌های اصلاح‌نشده، مرکز پاسخگویی اضطراری امنیتی آزمایشگاه ای اچ ان توضیح می‌دهد که سرورهای پایگاه داده، اغلب به دلیل رمز عبور ضعیف حساب‌ها، هدف خوبی برای حملات هستند. با این کار، تیم تجزیه‌وتحلیل گفت که می‌توان با پرداختن به مشکلات و اعمال احتیاط بیشتر در محافظت از رمزهای عبور از آن جلوگیری کرد. این مرکز همچنین پیشنهاد می‌کند که مدیران سرورهای مایکروسافت باید از رمزهای عبوری استفاده کنند که حدس زدن آن‌ها دشوار باشد و به‌طور دوره‌ای آن‌ها را تغییر دهند تا از سرور پایگاه داده در برابر حملات محافظت کنند و برای جلوگیری از آن‌ها، به آخرین وصله‌های امنیتی موجود، به‌روزرسانی کنند.