Los investigadores de seguridad han alertado de una nueva ola de ciberataques mediante la variante de ransomware Fargo que tienen por objetivo los servidores vulnerables de Microsoft SQL.
Estos servidores son sistemas de administración de bases de datos que contienen información para apps y servicios digitales. Un 'torpedo contra su línea de flotación' podría provocar interrupciones y graves problemas comerciales.
La página web especializada en ciberseguridad Bleeping Computer, que se hace eco de estos incidentes, ya informó de ataques similares contra dichos servidores el pasado mes de febrero y en julio.
En este último caso los cibermalos secuestraron servidores Microsoft SQL vulnerables para robar ancho de banda para servicios proxy.
La nueva tentativa de los cibermalos tiene fines algo más perversos. Los hackers buscan obtener dinero fácil y rápido chantajeando a los propietarios de las bases de datos.
Los investigadores de ASEC (Ahnlab Security Emergency Response Center) señalan que Fargo sería una de las cepas de ransomware más destacada que se centra en esta clase de servidores, junto con GlobeImposter.
Por otro lado, la variante también sería la misma que los expertos de la firma de antivirus Avast nombraron como 'TargetCompany' en un informe de febrero, en el que destacaban que los archivos cifrados por ello podían ser recuperados de manera gratuita en ciertos casos.
No lo cifra todo
Esta cepa de ransomware excluye algunos programas y directorios del cifrado para evitar que el sistema atacado quede completamente inutilizable.
Quedan exentos varios directorios del sistema de Microsoft Windows, los archivos de inicio, el navegador Tor, Internet Explorer, las personalizaciones y configuraciones del usuario, el archivo de registro de depuración o la base de datos de miniaturas.
Una vez que se completa el cifrado, los archivos bloqueados se renombran con la extensión ".Fargo3" y el malware genera la nota de rescate ("RECOVERY FILES.txt").
Además, los hackers amenazan a las víctimas con filtrar los archivos robados en su canal de Telegram a no ser que paguen religiosamente el rescate.
Hay que recordar que estos ataque suelen ser exitosos solo cuando se utilizan credendiales débiles. La recomendación para los administradores de servidores MS-SQL es que se aseguren de que usan contraseñas únicas y lo suficientemente protegidas. Además, no está de más mantener la máquina actualizada con las últimas correcciones para las vulnerabilidades de seguridad.