FARGO fidye yazılımının Microsoft SQL sunucuları hedef aldığı belirtildi. AhnLab Güvenlik Acil Müdahale Merkezi’ndeki (ASEC) güvenlik araştırmacıları, FARGO’nun GlobeImposter ile birlikte MS-SQL sunucularına odaklanan fidye yazılımlarından biri olduğunu belirtiyor. Şifrelediği dosyalara “Mallox” uzantısını eklediği için geçmişte “Mallox” olarak anılıyordu.
Araştırmacılar saldırının cmd ve powershel kullanarak bir .NET dosyası indiren MS-SQL prosessleri ile başladığını belirtiyor. İnidiren zararlı, bir bat dosyası oluşturuyor ve çalıştırıyor. Ardından, fidye yazılımı playload’u bir Windows prosessi olan AppLaunch.exe’ye enjekte ediyor.
FARGO fidye yazılımı saldırıya uğrayan sistemin tamamen kullanılamaz hale gelmesini önlemek için bazı yazılımları ve dizinleri şifrelemeden hariç tutuyor. Şifreleme tamamlandıktan sonra, kilitli dosyalar “.Fargo3” uzantısı kullanılarak yeniden adlandırılır ve kötü amaçlı yazılım fidye notunu oluşturur (“RECOVERY FILES.txt”).
Kurbanlar, fidyeyi ödemedikleri takdirde çalınan dosyaları saldırganların Telegram kanalına sızdırmakla tehdit ediliyor. Son olarak MS SQL sunucuları yöneten sistem adminlerin, sürekli sunucularını güncel tutmaları ve kırılması zor karmaşıklıkta şifre tercih etmeleri büyük önem taşıyor.
Kaynak: bleepingcomputer.com
