Eine neue Ransomware namens FARGO hat es auf anfällige Microsoft SQL-Server abgesehen und versucht, durch Erpressung der Datenbankbetreiber schnelle Einnahmen zu erzielen. Dies kann zu Ausfällen führen die enorme wirtschaftliche Folgen haben können, da die betroffenen Datenbanksysteme oft wichtige Daten für Internetdienste bereitstellen. Die Hacker nutzen dies als effektives Druckmittel gegen die Opfer.
FARGO ist neben GlobeImposter eine der bekanntesten Ransomwares die auf Microsofts SQL-Server abzielen. AhnLab Security Emergency Response Centers (ASEC) berichtet, dass sie ebenfalls als "Mallox" bekannt war, da sie die Dateierweiterung ".mallox" verwendete. Es ist derselbe Ransomware-Stamm, den Avast-Forscher bereits im Februar als "TargetCompany" bezeichnet haben.
Die Ransomware FARGO beginnt den Angriff mit dem MS-SQL-Prozess und lädt nach dem Download einer .NET-Datei über eine Shell zusätzliche Malware von einer bestimmten Adresse nach. Es generiert eine BAT-Datei die einige Prozesse und Dienste im Verzeichnis "%temp%" herunterfährt. Dann schleust es sich in das Windows-Programm "AppLaunch.exe" ein und versucht einen Registrierungsschlüssel unter einem bestimmten Pfad zu löschen. Anschließend deaktiviert es die Wiederherstellungsfunktionen des Systems und beendet einige Prozesse die mit SQL-Programmen im Zusammenhang stehen.
FARGO schließt einige Verzeichnisse von der Verschlüsselung aus um zu verhindern: Der angegriffene Microsoft SQL-Server vollständig unbrauchbar wird. Bei der Verschlüsselung der Dateien achtet FARGO jedoch auch darauf, dass sie nicht alten (und neuen) bekannten in die Quere kommt. Die verschlüsselte Datei erhält schließlich die Dateiendung ".Fargo3" und die Lösegeldforderung erscheint in Form einer "RECOVERY FILES.txt". Darin drohen die Angreifer mit einer Veröffentlichung der vom Microsoft SQL-Server gestohlenen Daten über ihren Telegram-Kanal, falls die Opfer nicht nachkommen.
Ransomware-Angriffe zielen häufig auf wertvolle Daten ab um die Opfer in eine vorteilhafte Verhandlungsposition zu bringen. Microsoft SQL-Server sind aufgrund ihrer hohen Verbreitung eine hervorragende Quelle dafür. Daher sollten Betreiber von SQL-Servern komplexe Passwörter verwenden die sie regelmäßig ändern und Sicherheitsupdates zeitnah installieren um das Risiko eines Angriffs durch FARGO zu minimieren.
In der Vergangenheit haben Ransomware-Angriffe zu erheblichen finanziellen Schäden geführt, weshalb es wichtig ist die Systeme vor solchen Bedrohungen zu schützen. Es ist zu hoffen, dass die IT-Sicherheitsbranche Maßnahmen ergreift um solche Angriffe zu bekämpfen und zu verhindern.
Kommentare