FARGO Ransomware IOCs

Группа анализа ASEC постоянно отслеживает вредоносное ПО, распространяемое на уязвимые серверы MS-SQL. Недавно аналитическая группа обнаружила распространение вымогательского ПО FARGO, нацеленного на уязвимые серверы MS-SQL. Наряду с GlobeImposter, FARGO является одной из известных программ-вымогателей, нацеленных на уязвимые серверы MS-SQL. В прошлом она также называлась Mallox, поскольку использовала расширение файла .mallox.

Содержание

FARGO Ransomware

Файл, загруженный процессом MS-SQL через cmd.exe и powershell.exe - это файл, построенный на .Net, скачивает и загружает дополнительное вредоносное ПО с определенного адреса. Загруженное вредоносное ПО создает и выполняет файл BAT, который отключает определенные процессы и службы, в каталоге %temp%.

Поведение ransomware начинается с внедрения в AppLaunch.exe, обычную программу Windows. Она пытается удалить ключ реестра по определенному пути, выполняет команду деактивации восстановления и закрывает определенные процессы .

Когда ransomware шифрует файлы, файлы с указанными ниже расширениями, исключаются из заражения.

Характерным аспектом является то, что она не заражает файлы с расширением файла, связанным с Globeimposter, и этот список исключений включает не только однотипные расширения .FARGO .FARGO2 и .FARGO3, но и .FARGO4, который, как считается, является будущей версией ransomware.

Типичные атаки, направленные на серверы баз данных (серверы MS-SQL, MySQL), включают атаки грубой силы и атаки по словарю на системы, в которых плохо ведется работа с учетными данными. Также возможны атаки на уязвимости систем, на которые не установлены патчи.

Администраторы серверов MS-SQL должны использовать трудноугадываемые пароли для своих учетных записей и периодически менять их, чтобы защитить сервер баз данных от атак методом перебора и словарных атак, а также обновлять систему до последней версии патча для предотвращения атак на уязвимости.

FARGO Ransomware IOCs

FARGO Ransomware

Indicators of Compromise

URLs

MD5