computer-1500929_1280.jpg

Servidores SQL sob ataques do ransomware TargetCompany

Da Redação
29/09/2022

Servidores SQL da Microsoft vulneráveis ​​estão sendo alvo de uma nova onda de ataques do grupo que opera o ransomware Fargo, alertam pesquisadores de segurança. Os servidores SQL são sistemas de gerenciamento de banco de dados que contêm dados para serviços e aplicativos da internet. Interrompê-los pode causar sérios problemas aos negócios.

O site BleepingComputer já havia relatado ataques semelhantes em fevereiro, eliminando os beacons Cobalt Strike e, em julho, quando operadores de ameaças sequestraram servidores SQL vulneráveis ​​para roubar largura de banda para serviços de proxy. A última onda é mais catastrófica, visando um lucro rápido e fácil chantageando os proprietários de bancos de dados.

Veja isso
SonicWall alerta para vulnerabilidade crítica de SQLi
Consultas SQL bypassam firewalls de aplicações web

Pesquisadores de segurança do AhnLab Security Emergency Response Center (ASEC) dizem que o Fargo é uma das linhagens de ransomware mais proeminentes, que se concentra em servidores SQL, juntamente com o GlobeImposter. Essa família de malware foi chamada de “Mallox” no passado porque costumava anexar a extensão “.mallox” aos arquivos que criptografa.

Além disso, essa linhagem é a mesma que os pesquisadores da Avast nomearam como “TargetCompany” em um relatório em fevereiro, destacando que os arquivos criptografados por ela podem ser recuperados gratuitamente em alguns casos.

As variantes do ransomware Fargo excluem alguns softwares e diretórios de criptografia para evitar que o sistema atacado se torne completamente inutilizável. Estão isentos de criptografia vários diretórios do Windows, os arquivos de inicialização, o Tor Browser, o Internet Explorer, as personalizações e configurações do usuário, o arquivo de log de depuração e o banco de dados de miniaturas. Após a conclusão da criptografia, os arquivos bloqueados são renomeados usando a extensão “.Fargo3” e o malware gera a nota de resgate (“RECOVERY FILES.txt”).

As vítimas estão sendo ameaçadas de vazamento dos arquivos roubados no canal do operador da ameaça no Telegram, a menos que paguem o resgate.

Compartilhar: