Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

www.tuoitre.vn -   27/09/2022 12:00:00 762

Các nhà nghiên cứu bảo mật đang lên tiếng cảnh báo về việc các máy chủ Microsoft SQL bị hack trong làn sóng tấn công ransomware TargetCompany.

Máy chủ MS-SQL là hệ thống quản lý cơ sở dữ liệu lưu trữ dữ liệu cho các dịch vụ và ứng dụng internet. Làm gián đoạn chúng có thể gây ra rắc rối nghiêm trọng cho việc kinh doanh của các doanh nghiệp.

Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

Hồi tháng 2, Bleeping Computer đã báo cáo về các cuộc tấn công tương tự với Cobalt Strike và trong tháng 7 là vụ việc hacker chiếm quyền điều khiển máy chủ MS-SQL dễ bị tấn công để lấy cắp băng thông cho các dịch vụ proxy.

Làn sóng mới còn thảm khốc hơn khi hacker phát tán ransomware để có thể thu lợi bất chính một cách nhanh chóng và dễ dàng.

Các nhà nghiên cứu bảo mật tại Trung tâm Ứng cứu Bảo mật Khẩn cấp AhnLab (ASEC) cho rằng FARGO là một trong những chủng ransomware tập trung vào các máy chủ MS-SQL nổi bật nhất, bên cạnh GlobeImposter.

Trước đây, họ mã độc này được gọi là "Mallox" vì các file mà nó mã hóa có phần đuôi mở rộng là ".mallox".

Ngoài ra, họ mã độc này cũng giống như thứ mà các nhà nghiên cứu của Avast đặt tên là "Target Company" hồi tháng 2. Avast còn nhấn mạnh rằng một số tệp bị mã hóa bởi nó có thể được khôi phục miễn phí trong một số trường hợp.

Dữ liệu thống kê về các cuộc tấn công ransomware trên nền tảng ID Ransomware cho thấy họ mã hóa file FARGO đang hoạt động khá tích cực.

Các nhà nghiên cứu lưu ý rằng việc lây nhiễm ransomware bắt đầu bằng việc tiến trình MS-SQL trên máy tính bị xâm nhập tải xuống một file .NET bằng các sử dụng cmd.exe và powershell.exe.

Làn sóng tấn công của mã độc TargetCompany nhắm vào máy chủ Microsoft SQL

Payload tìm nạp mã độc bổ sung (bao gồm cả locker), tạo và chạy file BAT với nhiệm vụ chấm dứt các quy trình và dịch vụ cụ thể.

Tiếp theo, payload ransomware tự đưa chính nó vào AppLaunch.exe, một quy trình hợp lệ của Windows và cố gắng xóa khỏi registry key cho vắc-xin chống ransomware mã nguồn mở có tên Raccine.

Ngoài ra, mã độc này còn thực hiện lệnh hủy kích hoạt sao lưu và chấm dứt các quy trình liên quan tới cơ sở dữ liệu để mọi thứ sẵn sàng bị mã hóa.

Dòng ransomware FARGO loại trừ một số phần mềm và thư mục khỏi danh sách mã hóa để tránh hệ thống bị tấn công hoàn toàn không sử dụng được.

Các thư mục và file bị loại trừ khỏi danh sách mã hóa gồm một số thư mục hệ thống Microsoft Windows, file khởi động, trình duyệt Tor, Internet Explorer, các tùy chỉnh và cài đặt của người dùng, file nhật ký debug hoặc dữ liệu thumbnail.

Sau khi mã hóa hoàn tất, các file bị khóa được đổi tên với phần mở rộng là ".Fargo3" và mã độc tạo ra ghi chú đòi tiền chuộc có tên "RECOVERY FILE.txt".

Hacker dọa sẽ rò rỉ file bị đánh cắp trên kênh Telegram nếu như nạn nhân không chịu trả tiền chuộc.

Các máy chủ cơ sở dữ liệu thường bị xâm nhập thông qua các kiểu tấn công brute-force và dictionary. Những kểu tấn công này có tỷ lệ thành công cao với những tải khoản sử dụng mật khẩu yếu. Ngoài ra, hacker còn cố gắng khai thác các lỗ hổng đã được công khai mà nạn nhân chưa vá.

Các chuyên gia khuyến nghị quả trị viên máy chủ Microsoft SQL nên dùng mật khẩu đủ mạnh và duy nhất. Ngoài ra, hãy giữ cho máy chủ luôn được cập nhật các bản vá mới nhất để khắc phục kịp thời mọi lỗ hổng bảo mật.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 72
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 80
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 43
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 38
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 90
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 20
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ