Die Ransomware FARGO zielt auf anfällige Microsoft SQL-Server und erpresst Administratoren mit einer einfachen Textdatei.
Hacker haben es unter Einsatz der Ransomware FARGO auf anfällige Microsoft-SQL-Server abgesehen. Durch Erpressung der Datenbankbetreiber versuchen sie schnell und einfach Einnahmen zu generieren.
Ransomware FARGO zielt auf Microsoft SQL-Server
Da die betroffenen Datenbanksysteme oftmals wichtige Daten für Internetdienste bereitstellen, kann eine Störung infolge eines Ransomware-Angriffs zu Ausfällen mit enormen wirtschaftlichen Folgen führen. Dieser Umstand ist damit ein effektives Druckmittel für die Angreifer.
Laut einem Bericht von Sicherheitsforschern des AhnLab Security Emergency Response Centers (ASEC) ist FARGO neben GlobeImposter eine der bekanntesten Ransomwares, die auf Microsofts SQL-Server abzielen. „In der Vergangenheit wurde sie auch Mallox genannt, weil sie die Dateierweiterung .mallox verwendete„, ergänzen die Forscher.
BleepingComputer fügt außerdem hinzu, dass es sich um den gleichen Ransomware-Stamm handelt, den Avast-Forscher bereits im Februar als „TargetCompany“ bezeichneten. In einigen Fällen sollen sich dessen verschlüsselte Dateien sogar kostenlos wiederherstellen lassen.
Der Weg bis zur Lösegeldforderung
Den Angriff beginnt FARGO mit dem MS-SQL-Prozess. Nach dem Download einer .NET-Datei über eine Shell lädt diese zusätzliche Malware von einer bestimmten Adresse nach. Diese generiert schließlich eine BAT-Datei, deren Ausführung einige Prozesse und Dienste im Verzeichnis „%temp%“ herunterfährt.
Im nächsten Schritt schleust sich die Ransomware in das Windows-Programm „AppLaunch.exe“ ein und versucht mehrere Registrierungsschlüssel zu löschen. Anschließend deaktiviert sie die Wiederherstellungsfunktionen des Systems und beendet einige Prozesse, die mit SQL-Programmen im Zusammenhang stehen.
Die Ransomware schließt einige Verzeichnisse von der Verschlüsselung aus, um zu verhindern, dass der angegriffene Microsoft SQL-Server vollständig unbrauchbar wird. Bei der Verschlüsselung der Dateien achtet FARGO jedoch auch darauf, dass sie nicht alten (und neuen) bekannten in die Quere kommt.
„Der charakteristische Aspekt ist, dass sie keine Dateien mit einer Dateierweiterung infiziert, die mit Globeimposter assoziiert ist, und diese Ausschlussliste umfasst nicht nur den gleichen Typ von Erweiterungen wie .FARGO, .FARGO2 und .FARGO3, sondern auch .FARGO4, von dem angenommen wird, dass es sich um eine zukünftige Version der Ransomware handelt.“
ASEC
Die verschlüsselte Datei erhält schließlich die Dateiendung „.Fargo3“ und die Lösegeldforderung erscheint in Form einer „RECOVERY FILES.txt„. Darin drohen die Angreifer mit einer Veröffentlichung der vom Microsoft SQL-Server gestohlenen Daten über ihren Telegram-Kanal sollte das Opfer der Forderung nicht nachkommen.
Administratoren von Microsoft SQL-Servern sollten handeln
Typischerweise erfolgen Angriffe auf Microsofts SQL-Server durch Brute-Force- und Wörterbuchangriffe. Konten mit schwachen Anmeldedaten sind dadurch besonders leicht kompromittierbar. Alternativ versuchen die Cyberkriminellen, bekannte Schwachstellen auszunutzen, die der Datenbankadministrator noch nicht gepatcht hat.
Daher ist den Betreibern von SQL-Servern empfohlen, sich durch komplexe Passwörter, die sie regelmäßig ändern, zu schützen. Und auch die zeitnahe Installation verfügbarer Sicherheitsupdates minimiert das Risiko eines Angriffs durch FARGO.
Ransomware-Angriffe haben es häufig auf wertvolle Daten abgesehen, da dies die Angreifer in eine vorteilhafte Verhandlungsposition bringt. Microsoft SQL-Server sind aufgrund ihrer hohen Verbreitung natürlich eine hervorragende Quelle dafür. So manch eine Ransomware setzt sogar den in Windows integrierten Bitlocker ein, um die Daten ihrer Opfer zu verschlüsseln.