حمله باج‌افزارها به سرورهای آسیب‌پذیری SQL مایکروسافت

سرورهای SQL مایکروسافت هدف باج‌افزارهای خطرناک FARGO قرار گرفته‌اند

توضیحات: بهادر قلندرپور; دسته: اخبار امنیت; 04 مهر 1401 19:00

محققان یک سازمان امنیت سایبری به‌تازگی متوجه گروهی از فعالیت‌های مجرمانه در فضای مجازی شده‌اند که هدف آن توزیع بدافزار بسیار خطرناک FARGO و آلوده کردن سرور شرکت‌های بزرگ به‌ویژه سرورهای آسیب‌پذیر SQL مایکروسافت است. این بدافزار با رمزگذاری تمام فایل‌های موجود بر روی سرور، امکان دسترسی به آن‌ها را غیرممکن می‌کند. با شهر سخت‌افزار همراه باشید.

تیم محققان امنیت سایبری مرکز پاسخگویی به فوریت‌های امنیتی ایالات متحده (ASEC) به‌تازگی متوجه شده‌اند که فعالیت گروه‌های هکر در فضای مجازی به‌شدت افزایش یافته و آن‌ها سرورهای آسیب‌پذیر SQL مایکروسافت را هدف قرار داده‌اند. در گزارش این تیم تحقیقاتی عنوان شده که هکرها به دنبال توزیع و آلوده کردن سرورهای مایکروسافت با استفاده از بدافزار FARGO هستند.

ransomware-attacks حمله باج‌افزارها به سرورهای آسیب‌پذیری SQL مایکروسافت

در گزارش ASEC توضیح داده شده که نه‌تنها بدافزار FARGO، بلکه یک باج‌افزار خطرناک دیگر به اسم Mallox نیز در فضای مجازی منتشر شده که هدف اصلی آن سرورهای آسیب‌پذیر MS-SQL است. این باج‌افزار با پسوند فایل‌های .mallox منتشر می‌شود.

سرورهای MS-SQL در واقع سیستم مدیریت پایگاه‌داده شرکت مایکروسافت هستند که برای ذخیره و بازیابی داده‌های مرتبط با خدمات اینترنتی و نرم‌افزارهای این شرکت مورد استفاده قرار می‌گیرند. با این اوصاف، ورود بدافزارهای یاد شده به این سرورها می‌تواند مشکلات زیادی برای مایکروسافت و مشتریان آن ایجاد کند.

در همین رابطه بخوانید:

- تصاویر منتشر شده توسط تلسکوپ جیمز وب ابزار جدید و خطرناک هکرها!
- بازی‌های رایانه‌ای جولانگاه هکرها؛ رشد وحشتناک حملات سایبری در دوران همه‌گیری کرونا

طبق گزارش منتشر شده توسط مرکز پاسخگویی به فوریت‌های امنیتی ایالات متحده، زمانی که در فرایندهای MS-SQL یک فایل .NET از طریق cms.exe و powershell.exe دانلود می‌شود، بدافزارهای نام‌برده شده می‌توانند به سرورهای آسیب‌پذیر راه یابند.

در مرحله بعد بدافزارها روند دانلود فایل‌های اضافه را آغاز کرده و در نهایت یک فایل با پسوند BAT ایجاد می‌کنند که خدمات و سرویس‌های خاصی را خاموش می‌کند.

در بخش‌هایی از گزارش ASEC گفته شده:

رفتار خطرناک این بدافزارها با ورود به یک برنامه معمولی ویندوز به نام AppLaunch.exe آغاز می‌شود. در این مرحله بدافزار سعی می‌کند یک کلید رجیستری را در یک مسیر مشخص حذف کرده و دستور غیرفعال‌سازی ویژگی بازیابی اطلاعات را فعال کند. در این حالت علاوه بر بسته‌شدن برخی فرایند‌های خاص، دیگر امکان بازیابی اطلاعات نیز وجود نخواهد داشت.

فایل‌های سرورهای SQL رمزگذاری و غیرقابل دسترس می‌شوند

به گفته محققان پس از ورود این باج‌افزارها به سیستم‌های شرکت مایکروسافت، تمام فایل‌ها رمزگذاری می‌شوند، به غیر از مواردی که امکان دسترسی به سیستم را محیا می‌کنند.

در این حملات نه‌تنها بدافزارهای FARGO، FARGO2 و FARGO3 مورد استفاده قرار گرفته است، بلکه یک بدافزار نسل جدید بسیار خطرناک به نام FARGO4 نیز وجود دارد که به گفته محققان یک نسخه کشف نشده از این مجموعه است.

FARGO-ransomware حمله باج‌افزارها به سرورهای آسیب‌پذیری SQL مایکروسافت

نسخه جدید بدافزار FARGO پس از رمزگذاری بر روی فایل‌ها نام تمام آن‌ها را تغییر داده و یک فایل متنی با نام RECOVERY FILES.txt را در اختیار قربانیان قرار می‌دهد. در این فایل گفته شده که در صورت عدم همکاری با هکرها و یا استفاده از نرم‌افزارهای شخص ثالث برای رفع باج‌افزار، تمام داده‌ها به‌صورت غیر قابل بازگشت حذف خواهد شد.

علاوه بر این گفته شده که در صورت عدم همکاری با هکرها، تمام داده‌ها حساس و محرمانه این سرورها به‌صورت عمومی منتشر می‌شود.