محققان یک سازمان امنیت سایبری بهتازگی متوجه گروهی از فعالیتهای مجرمانه در فضای مجازی شدهاند که هدف آن توزیع بدافزار بسیار خطرناک FARGO و آلوده کردن سرور شرکتهای بزرگ بهویژه سرورهای آسیبپذیر SQL مایکروسافت است. این بدافزار با رمزگذاری تمام فایلهای موجود بر روی سرور، امکان دسترسی به آنها را غیرممکن میکند. با شهر سختافزار همراه باشید.
تیم محققان امنیت سایبری مرکز پاسخگویی به فوریتهای امنیتی ایالات متحده (ASEC) بهتازگی متوجه شدهاند که فعالیت گروههای هکر در فضای مجازی بهشدت افزایش یافته و آنها سرورهای آسیبپذیر SQL مایکروسافت را هدف قرار دادهاند. در گزارش این تیم تحقیقاتی عنوان شده که هکرها به دنبال توزیع و آلوده کردن سرورهای مایکروسافت با استفاده از بدافزار FARGO هستند.
در گزارش ASEC توضیح داده شده که نهتنها بدافزار FARGO، بلکه یک باجافزار خطرناک دیگر به اسم Mallox نیز در فضای مجازی منتشر شده که هدف اصلی آن سرورهای آسیبپذیر MS-SQL است. این باجافزار با پسوند فایلهای .mallox منتشر میشود.
سرورهای MS-SQL در واقع سیستم مدیریت پایگاهداده شرکت مایکروسافت هستند که برای ذخیره و بازیابی دادههای مرتبط با خدمات اینترنتی و نرمافزارهای این شرکت مورد استفاده قرار میگیرند. با این اوصاف، ورود بدافزارهای یاد شده به این سرورها میتواند مشکلات زیادی برای مایکروسافت و مشتریان آن ایجاد کند.
در همین رابطه بخوانید:
- تصاویر منتشر شده توسط تلسکوپ جیمز وب ابزار جدید و خطرناک هکرها!
- بازیهای رایانهای جولانگاه هکرها؛ رشد وحشتناک حملات سایبری در دوران همهگیری کرونا
طبق گزارش منتشر شده توسط مرکز پاسخگویی به فوریتهای امنیتی ایالات متحده، زمانی که در فرایندهای MS-SQL یک فایل .NET از طریق cms.exe و powershell.exe دانلود میشود، بدافزارهای نامبرده شده میتوانند به سرورهای آسیبپذیر راه یابند.
در مرحله بعد بدافزارها روند دانلود فایلهای اضافه را آغاز کرده و در نهایت یک فایل با پسوند BAT ایجاد میکنند که خدمات و سرویسهای خاصی را خاموش میکند.
در بخشهایی از گزارش ASEC گفته شده:
رفتار خطرناک این بدافزارها با ورود به یک برنامه معمولی ویندوز به نام AppLaunch.exe آغاز میشود. در این مرحله بدافزار سعی میکند یک کلید رجیستری را در یک مسیر مشخص حذف کرده و دستور غیرفعالسازی ویژگی بازیابی اطلاعات را فعال کند. در این حالت علاوه بر بستهشدن برخی فرایندهای خاص، دیگر امکان بازیابی اطلاعات نیز وجود نخواهد داشت.
فایلهای سرورهای SQL رمزگذاری و غیرقابل دسترس میشوند
به گفته محققان پس از ورود این باجافزارها به سیستمهای شرکت مایکروسافت، تمام فایلها رمزگذاری میشوند، به غیر از مواردی که امکان دسترسی به سیستم را محیا میکنند.
در این حملات نهتنها بدافزارهای FARGO، FARGO2 و FARGO3 مورد استفاده قرار گرفته است، بلکه یک بدافزار نسل جدید بسیار خطرناک به نام FARGO4 نیز وجود دارد که به گفته محققان یک نسخه کشف نشده از این مجموعه است.
نسخه جدید بدافزار FARGO پس از رمزگذاری بر روی فایلها نام تمام آنها را تغییر داده و یک فایل متنی با نام RECOVERY FILES.txt را در اختیار قربانیان قرار میدهد. در این فایل گفته شده که در صورت عدم همکاری با هکرها و یا استفاده از نرمافزارهای شخص ثالث برای رفع باجافزار، تمام دادهها بهصورت غیر قابل بازگشت حذف خواهد شد.
علاوه بر این گفته شده که در صورت عدم همکاری با هکرها، تمام دادهها حساس و محرمانه این سرورها بهصورت عمومی منتشر میشود.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت