Le rançongiciel FARGO cible les serveurs Microsoft SQL vulnérables et fait chanter les administrateurs avec un simple fichier texte.
Les pirates ciblent les serveurs Microsoft SQL vulnérables à l’aide du rançongiciel FARGO. En faisant chanter les opérateurs de bases de données, ils essaient de générer des revenus rapidement et facilement.
Le rançongiciel FARGO cible Microsoft SQL Server
Étant donné que les systèmes de base de données concernés fournissent souvent des données importantes pour les services Internet, une interruption résultant d’une attaque de ransomware peut entraîner des pannes aux conséquences économiques énormes. Cette circonstance est donc un moyen de pression efficace pour les agresseurs.
Selon un rapport des chercheurs en sécurité du AhnLab Security Emergency Response Center (ASEC), FARGO est l’un des rançongiciels les plus connus ciblant SQL Server de Microsoft, avec GlobeImposter. « Dans le passé, il s’appelait également Mallox car il utilisait l’extension de fichier .mallox » ajoutent les chercheurs.
BleepingComputer ajoute également qu’il s’agit de la même souche de ransomware que les chercheurs d’Avast ont identifiée en février comme « Société cible» désigné. Dans certains cas, ses fichiers cryptés devraient même pouvoir être restaurés gratuitement.
Le chemin vers la demande de rançon
FARGO commence l’attaque avec le processus MS-SQL. Après avoir téléchargé un fichier .NET via un shell, ce logiciel malveillant supplémentaire se télécharge à partir d’une adresse spécifique. Cela génère finalement un fichier BAT dont l’exécution nécessite certains processus et services dans le « %temp%» s’éteint.
Dans l’étape suivante, le ransomware s’infiltre dans le programme Windows « AppLaunch.exe” et essaie de supprimer une clé de registre sous un chemin spécifique. Il désactive ensuite les fonctions de récupération du système et met fin à certains processus liés aux programmes SQL.
Le ransomware exclut certains répertoires du cryptage pour empêcher le Microsoft SQL Server compromis de devenir complètement inutilisable. Cependant, lors du cryptage des fichiers, FARGO s’assure également qu’ils ne gênent pas les anciennes (et les nouvelles) connaissances.
« L’aspect distinctif est qu’il n’infecte pas les fichiers avec une extension de fichier associée à Globeimposter, et cette liste d’exclusion comprend non seulement le même type d’extensions que .FARGO, .FARGO2 et .FARGO3, mais aussi .FARGO4, qui est supposé que c’est une future version du rançongiciel. »
UNE SECONDE
Le fichier crypté obtient enfin l’extension de fichier « .Fargo3 » et la note de rançon apparaît sous la forme d’un « RECOVERY FILES.txt“. Dans celui-ci, les attaquants menacent de publier les données volées à Microsoft SQL Server via leur canal Telegram si la victime ne se conforme pas à la demande.
Les administrateurs de Microsoft SQL Server doivent agir
Les attaques sur le serveur SQL de Microsoft sont généralement menées à l’aide d’attaques par force brute et par dictionnaire. Cela rend les comptes avec des informations d’identification faibles particulièrement faciles à compromettre. Alternativement, les cybercriminels tentent d’exploiter des vulnérabilités connues que l’administrateur de la base de données n’a pas encore corrigées.
Il est donc recommandé aux opérateurs de serveurs SQL de se protéger avec des mots de passe complexes qu’ils changent régulièrement. L’installation en temps voulu des mises à jour de sécurité disponibles minimise également le risque d’attaque par FARGO.
Les attaques de ransomware ciblent souvent des données précieuses, car cela place les attaquants dans une position de négociation avantageuse. Les serveurs Microsoft SQL sont bien sûr une excellente source pour cela en raison de leur utilisation généralisée. Certains rançongiciels utilisent même le Bitlocker intégré à Windows pour chiffrer les données de leurs victimes.