Securityexperts waarschuwen voor een golf van ransomware-aanvallen op Microsoft SQL servers. Hackers misbruiken kwetsbaarheden in internet-facing servers om de Fargo-ransomwarevariant te verspreiden.

In februari waarschuwde website BleepingComputer voor een reeks vergelijkbare aanvallen op Microsoft SQL servers. Een tweede golf vond plaats in juli. Beiden incidenten waren gebaseerd op Cobalt Strike.

Microsoft SQL servers functioneren doorgaans als databasemanagementsysteem (DBMS). De servers slaan gevoelige gegevens op met betrekking tot tal van internetapps en -diensten. Microsoft SQL Server is een van van de populairste DBM-systemen voor enkelvoudige en grootschalige apps.

Aanvallen op SQL-servers kunnen tot kritieke incidenten leiden. Hackers wisten onlangs servers te kapen om bandbreedte te stelen voor proxy-diensten, waardoor een nieuwe golf van aanvallen op gang kwam. De cybercriminelen chanteerden en bedreigden databasebeheerders om geld te verdienen.

Fargo ransomware

De databaseservers werden gecompromitteerd met behulp van brute-force aanvallen op zwakke inloggegevens. Ook ongepatchte kwetsbaarheden vergroten de kans op een hack. Slachtoffers worden gechanteerd met gelekte bestanden totdat ze het losgeld betalen.

Volgens beveiligingsexperts van securitybedrijf ASEC is Fargo een van de gevaarlijkste en populairste vormen van ransomware onder aanvallers van Microsoft SQL servers. De ransomwarevariant is ook wel bekend als Mallox, aangezien het programma een .mallox-extensie vastmaakt tijdens de bestandsversleuteling.

Aanvalsproces

Fargo is een file-encrypting malwarevorm. De infectie begint met Microsoft SQL-processen. De variant kaapt systemen door een .NET bestand te downloaden met powershell.exe- en cmd.exe-extensies. De payload haalt aanvullende malware binnen terwijl het een BAT-bestand genereert en uitvoert dat diensten en processen beëindigt.

De ransomware injecteert zichzelf automatisch in AppLaunche.exe, een Windows-proces. Vervolgens probeert het de registry key te wissen die voor ransomwarepreventie wordt gebruikt. Daarnaast voert de ransomware commands uit om database-gerelateerde processen te beëindigen. Kritieke mappen met opstartbestanden, browsers en gebruikersgegevens worden niet aangetast, aangezien de hackers willen voorkomen dat het systeem volledig onbruikbaar wordt.

Uiteindelijk hernoemt de ransomware de vergrendelde bestanden als ‘.Fargo3’ terwijl het een losgeldbrief genereert met de naam ‘RECOVERYFILES.txt’. Experts adviseren om sterke en unieke inloggegevens te implementeren, systemen up-to-date te houden en patches voor beveiligingsproblemen toe te passen.

Tip: Databescherming wordt steeds meer workload-specifiek (en software-defined)