นักวิจัยด้านความปลอดภัยแจ้งเตือน Microsoft SQL Server ที่มีช่องโหว่ กำลังตกเป็นเป้าหมายในการโจมตีจากกลุ่ม FARGO แรนซัมแวร์
MS-SQL เซิร์ฟเวอร์ เป็นระบบจัดการฐานข้อมูลที่เก็บข้อมูลสำหรับบริการบนอินเทอร์เน็ต และแอพ การถูกโจมตีจากผู้ไม่หวังดีอาจทำให้เกิดผลกระทบทางธุรกิจที่รุนแรงได้
โดยการโจมตีนี้มีวัตถุประสงค์เพื่อการแบล็คเมล์ของเจ้าของฐานข้อมูลเป็นหลัก
FARGO ransomware หรือที่รู้จักในชื่อ TargetCompany
นักวิจัยด้านความปลอดภัยที่ AhnLab Security Emergency Response Center (ASEC) กล่าวว่า FARGO เป็นหนึ่งในแรนซัมแวร์ที่โดดเด่นที่สุดที่มุ่งเน้นการโจมตีไปที่เซิร์ฟเวอร์ MS-SQL เช่นเดียวกันกับ GlobeImposte
มัลแวร์ประเภทนี้เคยถูกเรียกว่า “Mallox” ในอดีต เพราะมันจะต่อท้ายนามสกุลของไฟล์ที่เข้ารหัสด้วย “.mallox”
นอกจากนี้มัลแวร์ประเภทนี้ยังคือตัวเดียวกับที่นักวิจัยจาก Avast ตั้งชื่อว่า “TargetCompany” ในรายงานเมื่อเดือนกุมภาพันธ์ โดยพบว่าไฟล์ที่เข้ารหัสอาจกู้คืนได้เป็นบางกรณี
ข้อมูลทางสถิติเกี่ยวกับการโจมตีของ ransomware บนแพลตฟอร์ม ID Ransomware บ่งชี้ว่า FARGO มีการถูกพบค่อนข้างมาก
นักวิจัยระบุว่าการโจมตีของแรนซัมแวร์จะเริ่มจากการที่ MS-SQL process บนเครื่องที่ถูกโจมตี ทำการดาวน์โหลดไฟล์ .NET โดยใช้ cmd.exe และ powershell.exe
ระหว่างการโจมตีอาจมีการใช้งานมัลแวร์ที่เป็นอันตรายอื่น ๆ รวมถึงการเรียกใช้ไฟล์ BAT เพื่อหยุดการทำงานบาง process หรือ services
จากนั้นแรนซัมแวร์เพย์โหลดจะถูกแทรกเข้าไปใน AppLaunch.exe ซึ่งเป็น process ของ Windows ที่ถูกต้อง และจะพยายามลบ registry key ของ open-source ที่ใช้ป้องกันแรนซัมแวร์ที่ชื่อว่า Raccine
นอกจากนี้ยังสามารถรันคำสั่งปิดการใช้งานการ recovery และหยุดการทำงานที่เกี่ยวข้องกับฐานข้อมูล และยังทำการเข้ารหัสฐานข้อมูลได้
FARGO จะแยกซอฟต์แวร์ และไดเร็กทอรีบางส่วนออกจากการเข้ารหัสเพื่อป้องกันไม่ให้ระบบที่ถูกโจมตีใช้งานไม่ได้ เช่น หลาย ๆ ไฟล์ใน Microsoft Windows system ไดเร็กทอรี, ไฟล์สำหรับบู๊ตระบบ, Tor Browser, Internet Explorer, การปรับแต่ง และการตั้งค่าของผู้ใช้, ไฟล์บันทึกการดีบัก หรือ thumbnail database
หลังจากการเข้ารหัสเสร็จสิ้น ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนชื่อโดยใช้นามสกุล ".Fargo3" และมัลแวร์จะสร้างไฟล์เรียกค่าไถ่ที่ชื่อว่า “RECOVERY FILES.txt”
เหยื่อจะถูกข่มขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยมา ยกเว้นแต่ว่าเหยื่อจะยอมจ่ายค่าไถ่
Database servers มักถูกบุกรุกผ่านการโจมตีในรูปแบบ brute-force และ dictionary attacks ซึ่งเกิดจากการตั้งค่าบัญชีผู้ใช้งานที่ไม่ปลอดภัย แต่ก็มีบางกรณีที่เกิดจากการโจมตีด้วยช่องโหว่ที่ยังไม่ได้รับการอัปเดตแพตซ์
ผู้ดูแลระบบ MS-SQL เซิร์ฟเวอร์ควรตรวจสอบว่ามีการใช้รหัสผ่านที่รัดกุมเพียงพอ และไม่ซ้ำกัน นอกจากนี้การอัปเดตแพตซ์ช่องโหว่อยู่อย่างสม่ำเสมอก็จะช่วยลดความเสี่ยงจากการถูกโจมตีได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.