BleepingComputer ha segnalato attacchi simili a febbraio, con la caduta dei beacon Cobalt Strike, e a luglio, quando gli attori delle minacce hanno dirottato i server MS-SQL vulnerabili per rubare la larghezza di banda per i servizi proxy.
L’ultima ondata è più catastrofica e mira a un profitto facile e veloce ricattando i proprietari di database.
Il ransomware FARGO, alias TargetCompany
I ricercatori di sicurezza dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO è uno dei ceppi di ransomware più importanti che si concentrano sui server MS-SQL, insieme a GlobeImposter.
Questa famiglia di malware è stata chiamata “Mallox” in passato perché era solita aggiungere l’estensione “.mallox” ai file che criptava.
Inoltre, questo ceppo è lo stesso che i ricercatori di Avast hanno denominato “TargetCompany” in un rapporto di febbraio, evidenziando che i file da esso crittografati possono essere recuperati gratuitamente in alcuni casi.
Infezione ed esecuzione
I ricercatori rilevano che l’infezione da ransomware inizia con il processo MS-SQL sul computer compromesso che scarica un file .NET utilizzando cmd.exe e powershell.exe.
Il payload recupera ulteriore malware (incluso l’armadietto), genera ed esegue un file BAT che termina processi e servizi specifici.
Successivamente, il payload del ransomware si inietta in AppLaunch.exe, un processo legittimo di Windows, e cerca di eliminare la chiave di registro per il “vaccino” open-source del ransomware chiamato Raccine.
Inoltre, il malware esegue il comando di disattivazione del recupero e termina i processi relativi al database per rendere il loro contenuto disponibile per la crittografia.
Processi eliminati da FARGO
Processi uccisi da FARGO prima dell’avvio della crittografia (ASEC)
Il ceppo di ransomware FARGO esclude alcuni software e directory dalla crittografia per evitare che il sistema attaccato diventi completamente inutilizzabile.
Sono escluse dalla crittografia diverse directory del sistema Microsoft Windows, i file di avvio, Tor Browser, Internet Explorer, le personalizzazioni e le impostazioni dell’utente, il file di registro di debug o il database delle miniature.
Al termine della crittografia, i file bloccati vengono rinominati con l’estensione “.Fargo3” e il malware genera la nota di riscatto (“RECOVERY FILES.txt”).
Le vittime vengono minacciate di diffondere i file rubati sul canale Telegram dell’attore della minaccia, a meno che non paghino il riscatto.
I server di database sono spesso compromessi attraverso attacchi brute-force e a dizionario che hanno successo contro gli account protetti da credenziali deboli. In alternativa, i criminali informatici cercano di sfruttare vulnerabilità note che l’obiettivo non ha patchato.
La raccomandazione per gli amministratori di server MS-SQL è di assicurarsi di utilizzare password sufficientemente forti e uniche. Inoltre, mantenere la macchina aggiornata con le ultime correzioni delle vulnerabilità di sicurezza è un consiglio che non passa mai di moda.