一项正在进行的活动正在寻求分发 FARGO勒索软件（在新标签中打开）专家发现，尽可能多的 Microsoft SQL 服务器。

据 AhnLab 安全应急响应中心 (ASEC) 的网络安全研究人员称，威胁行为者正在加快步伐，寻找未受保护的 MS-SQL 服务器，或那些受弱且易于破解的密码保护的服务器。

研究人员进一步解释说，攻击者从事暴力和字典攻击，这意味着一旦他们将目光投向特定的服务器，他们就会尝试尽可能多的密码组合，直到有一个被粘住。

电报泄漏

可以通过这种方式访问具有弱密码的端点，一旦他们访问服务器，攻击者就会加密文件并给它们一个 .Fargo3 扩展名，并放置一个名为 RECOVERY FILES.txt 的赎金记录。

勒索软件在加密时会跳过几个 Windows 系统目录，包括启动文件、Tor 浏览器、Internet Explorer、用户自定义和设置、调试日志文件和缩略图数据库。在赎金记录中，攻击者威胁要在他们的 Telegram 频道上发布被盗文件，除非他们的要求得到满足。

Microsoft SQL 服务器托管各种 Internet 服务和应用程序使用的数据，使其成为许多组织日常运营的关键。因此，它们是各种希望部署恶意软件的网络犯罪分子的主要目标（在新标签中打开）并窃取敏感数据。

今年到目前为止，TechRadar Pro已经两次报告了攻击 MS-SQL 服务器的骗子，一次是在四月，一次是在五月。4 月，发现威胁行为者在易受攻击的服务器上放置 Cobalt Strike 信标，而在 5 月，观察到骗子对端点进行暴力攻击。

微软安全情报团队当时透露：“攻击者通过生成 sqlps.exe 实用程序（用于运行 SQL 构建的 cmdlet 的 PowerShell 包装器）来运行侦察命令并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。” .

BleepingComputer声称，这种攻击“更具灾难性”，因为它旨在通过勒索更快地获利。