Los ciberdelincuentes están atacando instancias vulnerables de Microsoft SQL Server con el ransomware FARGO en una nueva oleada de ataques de extorsión, según han advertido los investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC). El ransomware FARGO es un ransomware de cifrado de archivos que impide el acceso a los datos de una máquina cifrando los archivos y añadiendo la extensión “.FARGO”.
Conjuntamente con GlobeImposter, es una de las variantes de ransomware más conocidas dirigidas a SQL Server. Esta familia de malware se conocía anteriormente como “Mallox”, ya que solía añadir la extensión “.mallox” a los archivos que encriptaba. Además, esta cepa es la misma que los investigadores de Avast denominaron “TargetCompany” en un informe de febrero.
El ransomware FARGO busca fotos, vídeos y otros archivos sensibles como .doc, .docx, .xls y .pdf en la máquina de la víctima. El ransomware encripta estos archivos y altera su extensión a “.FARGO” cuando los encuentra, haciéndolos inaccesibles. A continuación, pide a sus víctimas un rescate en bitcoins a cambio de una clave de descifrado.
Según los investigadores de ASEC, la cadena de infección del ransomware en los ataques más recientes comienza con la descarga de un archivo .NET por parte del proceso MS-SQL mediante powershell.exe y cmd.exe.
A continuación, el archivo .NET descarga malware adicional (incluido el casillero), antes de generar un archivo BAT que termina ciertos procesos y servicios del sistema.
A continuación, el malware intenta borrar la entrada del registro para la “vacuna” del ransomware de código abierto Raccine, tras inyectarse en AppLaunch.exe.
Para que el contenido de las bases de datos esté disponible para su cifrado, también realiza un comando de desactivación de la recuperación y termina los procesos relacionados con las bases de datos.
Sin embargo, no cifra todos los programas y directorios, dejando algunos directorios del sistema Windows, los archivos de arranque y el navegador Tor, para evitar que la máquina quede totalmente inoperativa.
A las víctimas se les dice que si no pagan el rescate, se arriesgan a que sus archivos robados sean publicados en el canal de Telegram de los operadores del ransomware.
Los expertos afirman que los ataques de diccionario y de fuerza bruta son las formas más comunes de violación de las bases de datos. Además, los atacantes se aprovechan de una vulnerabilidad conocida que podría no estar parcheada.
Para proteger su servidor de base de datos de los ataques de fuerza bruta y de diccionario, se aconseja a los administradores de servidores MS-SQL que utilicen contraseñas fuertes y que las cambien con regularidad. Los administradores también deben actualizar las instancias con prontitud para asegurarse de que se parchean las vulnerabilidades más recientes.
En mayo, los investigadores de Microsoft descubrieron una campaña maliciosa dirigida a MS-SQL Server mediante la explotación de una utilidad PowerShell incorporada para lograr la persistencia en las máquinas comprometidas.
Los actores cibernéticos detrás de la campaña utilizaron ataques de fuerza bruta para la brecha inicial y luego armaron el módulo incorporado sqlps.exe para tomar el control total de la instancia de SQL Server.
En febrero, los investigadores de ASEC advirtieron que los ciberdelincuentes estaban intentando desplegar la herramienta de simulación de adversarios Cobalt Strike en instancias vulnerables de SQL Server orientadas a Internet con el fin de robar información confidencial de las máquinas comprometidas.