Microsoft SQL Server をハッキング:TargetCompany ランサムウェアの狙いはどこに?

Microsoft SQL servers hacked in TargetCompany ransomware attacks

2022/09/24 BleepingComputer — 脆弱な Microsoft SQL Server が、FARGO ランサムウェアの新たな攻撃の標的になっていると、セキュリティ研究者たちが警告している。MS-SQL Server は、インターネット・サービスやアプリのデータを保持するデータベース管理システムであり、これらを停止させると、ビジネスに大きな支障をきたすことになる。BleepingComputer は、2月に Cobalt Strike ビーコンを投下する同様の攻撃について、7月には脆弱な MS-SQL Server をハイジャックしてプロキシサービスの帯域を奪取する攻撃について、報告をしている。最近の攻撃の波は、より破滅的なものであり、データベースの所有者を脅迫して、手っ取り早く利益を得ることを目的としている。


FARGO ランサムウェア (通称:TargetCompany)

AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちによると、FARGO は GlobeImposter と並んで、MS-SQL Server に焦点を当てた、最も著名なランサムウェア系統の1つであるという。このマルウェア・ファミリーは、暗号化するファイルに .mallox という拡張子を付けていたことで、以前は Mallox と呼ばれていた。

また、このランサムウェアの系統は、2月のレポートで Avast の研究者たちが TargetCompany と名付けたものと同じであり、暗号化されたファイルを、無料で復元できるケースもあると指摘されている。なお、ID Ransomware におけるランサムウェア攻撃に関する統計データは、ファイル暗号化マルウェアの FARGO ファミリーが、かなり活発であることを示している。

FARGO activity in the last 30 days
FARGO の過去30日間の活動状況 (ID Ransomware)

感染と実行

研究者たちによると、このランサムウェアのアクティビティは、感染させたマシン上の MS-SQL プロセスが、cmd.exe と powershell.exe を用いて .NET ファイルをダウンロードするところから始まるという。

このダウンロードされたペイロードは、ロッカーを含む追加のマルウェアを取得し、特定のプロセスやサービスを終了させる BAT ファイルを生成して実行する。続いて、正規の Windows プロセスである AppLaunch.exe に自分自身を注入し、Raccine というオープンソースのランサムウェア・ワクチンのレジストリキー削除を試みる。さらに、回復停止コマンドを実行し、データベース関連のプロセスを終了させ、その内容を暗号化のために利用できるようにする。

Processes killed by FARGO
暗号化を開始する前に FARGO によって強制終了されるプロセス (ASEC)

FARGO は、攻撃されたシステムが完全に使用不能になることを防ぐために、一部のソフトウェアとディレクトリを暗号化の対象から除外している。暗号化の対象外となるのは、Microsoft Windows のシステムディレクトリ/ブートファイル/Tor Browser/Internet Explorer/ユーザーのカスタマイズと設定/デバッグ・ログ・ファイル/サムネイル・データベースなどだ。

暗号化が完了すると、ロックされたファイルは、拡張子 .FARGO3 を用いた名前に変更され、身代金要求書 RECOVERY FILES.txt が生成される。

FARGO ransom note
FARGO の身代金要求書

そして、身代金を支払わない限り、盗まれたファイルを、脅威アクターの Telegram チャンネルに流出させると、被害者は脅迫される。

多くの場合、データベース・サーバーは、脆弱な認証情報でのみ保護されたアカウントへの、ブルートフォース攻撃やディクショナリ攻撃により侵害される。あるいは、ターゲットがパッチを適用していない既知の脆弱性を、悪用しようと試みるサイバー犯罪者もいる。

MS-SQL Server の管理者に推奨されるのは、十分に強力でユニークなパスワードを使用することや、セキュリティ脆弱性に対する最新の修正プログラムで、マシンを最新に保つことだ。

文中でも指摘されていますが、5月18日に「Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している」という、ブルートフォースに関する記事がありました。その一方で、Microsoft からは「SQL Server Management Studio と Azure AD 用に多要素認証を構成する」という記事が出ています。瞬時にデータを引きだそううとする、さまざまなユーザーからの大量のリクエストを受けて、それに応えるデータベースのセキュリティは、とても重要な問題ですね。

%d bloggers like this: