Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

www.tuoitre.vn -   27/09/2022 12:00:00 2879

Các nhà nghiên cứu bảo mật đang lên tiếng cảnh báo về việc các máy chủ Microsoft SQL bị hack trong làn sóng tấn công ransomware TargetCompany.

Máy chủ MS-SQL là hệ thống quản lý cơ sở dữ liệu lưu trữ dữ liệu cho các dịch vụ và ứng dụng internet. Làm gián đoạn chúng có thể gây ra rắc rối nghiêm trọng cho việc kinh doanh của các doanh nghiệp.

Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

Hồi tháng 2, Bleeping Computer đã báo cáo về các cuộc tấn công tương tự với Cobalt Strike và trong tháng 7 là vụ việc hacker chiếm quyền điều khiển máy chủ MS-SQL dễ bị tấn công để lấy cắp băng thông cho các dịch vụ proxy.

Làn sóng mới còn thảm khốc hơn khi hacker phát tán ransomware để có thể thu lợi bất chính một cách nhanh chóng và dễ dàng.

Các nhà nghiên cứu bảo mật tại Trung tâm Ứng cứu Bảo mật Khẩn cấp AhnLab (ASEC) cho rằng FARGO là một trong những chủng ransomware tập trung vào các máy chủ MS-SQL nổi bật nhất, bên cạnh GlobeImposter.

Trước đây, họ mã độc này được gọi là "Mallox" vì các file mà nó mã hóa có phần đuôi mở rộng là ".mallox".

Ngoài ra, họ mã độc này cũng giống như thứ mà các nhà nghiên cứu của Avast đặt tên là "Target Company" hồi tháng 2. Avast còn nhấn mạnh rằng một số tệp bị mã hóa bởi nó có thể được khôi phục miễn phí trong một số trường hợp.

Dữ liệu thống kê về các cuộc tấn công ransomware trên nền tảng ID Ransomware cho thấy họ mã hóa file FARGO đang hoạt động khá tích cực.

Các nhà nghiên cứu lưu ý rằng việc lây nhiễm ransomware bắt đầu bằng việc tiến trình MS-SQL trên máy tính bị xâm nhập tải xuống một file .NET bằng các sử dụng cmd.exe và powershell.exe.

Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

Payload tìm nạp mã độc bổ sung (bao gồm cả locker), tạo và chạy file BAT với nhiệm vụ chấm dứt các quy trình và dịch vụ cụ thể.

Tiếp theo, payload ransomware tự đưa chính nó vào AppLaunch.exe, một quy trình hợp lệ của Windows và cố gắng xóa khỏi registry key cho vắc-xin chống ransomware mã nguồn mở có tên Raccine.

Ngoài ra, mã độc này còn thực hiện lệnh hủy kích hoạt sao lưu và chấm dứt các quy trình liên quan tới cơ sở dữ liệu để mọi thứ sẵn sàng bị mã hóa.

Dòng ransomware FARGO loại trừ một số phần mềm và thư mục khỏi danh sách mã hóa để tránh hệ thống bị tấn công hoàn toàn không sử dụng được.

Các thư mục và file bị loại trừ khỏi danh sách mã hóa gồm một số thư mục hệ thống Microsoft Windows, file khởi động, trình duyệt Tor, Internet Explorer, các tùy chỉnh và cài đặt của người dùng, file nhật ký debug hoặc dữ liệu thumbnail.

Sau khi mã hóa hoàn tất, các file bị khóa được đổi tên với phần mở rộng là ".Fargo3" và mã độc tạo ra ghi chú đòi tiền chuộc có tên "RECOVERY FILE.txt".

Hacker dọa sẽ rò rỉ file bị đánh cắp trên kênh Telegram nếu như nạn nhân không chịu trả tiền chuộc.

Các máy chủ cơ sở dữ liệu thường bị xâm nhập thông qua các kiểu tấn công brute-force và dictionary. Những kểu tấn công này có tỷ lệ thành công cao với những tải khoản sử dụng mật khẩu yếu. Ngoài ra, hacker còn cố gắng khai thác các lỗ hổng đã được công khai mà nạn nhân chưa vá.

Các chuyên gia khuyến nghị quả trị viên máy chủ Microsoft SQL nên dùng mật khẩu đủ mạnh và duy nhất. Ngoài ra, hãy giữ cho máy chủ luôn được cập nhật các bản vá mới nhất để khắc phục kịp thời mọi lỗ hổng bảo mật.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 113
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 685
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 1.312
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 989
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 844
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 725
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ