Una campaña en curso busca distribuir el ransomware FARGO (se abre en una pestaña nueva) a tantos servidores Microsoft SQL como sea posible, según han descubierto los expertos.
Según los investigadores de seguridad cibernética del AhnLab Security Emergency Response Center (ASEC), los actores de amenazas están acelerando el ritmo, buscando servidores MS-SQL desprotegidos o aquellos protegidos por contraseñas débiles y fáciles de descifrar.
Los atacantes están involucrados en ataques de fuerza bruta y de diccionario, explican además los investigadores, lo que significa que una vez que fijan su vista en servidores específicos, intentarán tantas combinaciones de contraseñas como sea posible, hasta que una se quede.
Filtraciones en Telegram
Se puede acceder a los puntos finales con contraseñas débiles de esa manera, y una vez que acceden a los servidores, los atacantes encriptarían los archivos y les darían una extensión .Fargo3, y colocarían una nota de rescate titulada RECUPERACIÓN DE ARCHIVOS.txt.
El ransomware omite un par de directorios del sistema de Windows durante el cifrado, incluidos los archivos de arranque, el navegador Tor, Internet Explorer, la personalización y la configuración del usuario, el archivo de registro de depuración y la base de datos de miniaturas. En la nota de rescate, los atacantes amenazan con liberar los archivos robados en su canal de Telegram, a menos que se cumplan sus demandas.
Los servidores Microsoft SQL alojan datos utilizados por varios servicios y aplicaciones de Internet, lo que los convierte en fundamentales para las operaciones diarias de muchas organizaciones. Como tales, son un objetivo importante para varios ciberdelincuentes que buscan implementar malware. (se abre en una pestaña nueva) y robar datos confidenciales.
Lo que va de año, TechRadar Pro ha informado dos veces sobre delincuentes que atacan servidores MS-SQL, una vez en abril y otra en mayo. En abril, se vio a un actor de amenazas lanzando balizas Cobalt Strike en servidores vulnerables, mientras que en mayo, se observaron delincuentes atacando con fuerza bruta los puntos finales.
«Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem», reveló el equipo de inteligencia de seguridad de Microsoft en ese momento. .
este ataque, BleepingEquipo afirma, es “más catastrófico”, ya que apunta a una ganancia más rápida a través del chantaje.
Vía: BleepingComputer (se abre en una pestaña nueva)