Mallox-Ransomware jagt Opfer, indem es MS-SQL-Server angreift

Palo Alto Networks Unit 42 meldete im Jahr 2023 einen erstaunlichen Anstieg der Mallox-Ransomware-Aktivitäten um 174 % im Vergleich zum Vorjahr.

Wie viele andere Ransomware-Bedrohungsakteure hat Mallox Ransomware die Strategie der doppelten Erpressung übernommen. Bei diesem Ansatz werden vertrauliche Daten von Organisationen gestohlen, bevor ihre Dateien verschlüsselt werden. Anschließend drohen die Bedrohungsakteure damit, die gestohlenen Daten auf einer Leak-Seite freizugeben, um die Opfer zur Zahlung des Lösegelds zu zwingen. Die Sicherheitsforscher Lior Rochberger und Shimi Cohen teilten diese Ergebnisse in einem Bericht mit der Website The Hacker News.

Mallox wird mit einem Bedrohungsakteur in Verbindung gebracht, der dafür bekannt ist, andere Ransomware-Stämme wie TargetCompany, Tohnichi, Fargo und das neuere Xollam zu betreiben. Seine Entstehung geht auf Juni 2021 zurück.

Zu den Sektoren, auf die Mallox vor allem abzielt, gehören die verarbeitende Industrie, professionelle und juristische Dienstleistungen sowie der Groß- und Einzelhandel.

Mallox setzt auf MS-SQL-Server

Eines der besonderen Merkmale dieser Gruppe ist die Ausnutzung schlecht gesicherter MS-SQL-Server durch Wörterbuchangriffe, um in die Netzwerke der Opfer einzudringen. Eine Abweichung von diesem Muster wurde jedoch bei Xollam beobachtet, das, wie Trend Micro letzten Monat bekannt gab, bösartige OneNote-Dateianhänge für den Erstzugriff verwendet.

Sobald die Angreifer auf dem infizierten Host Fuß gefasst haben, führen sie einen PowerShell-Befehl aus, um die Ransomware-Payload von einem Remote-Server abzurufen.

Die von Mallox verwendete Binärdatei unternimmt mehrere Schritte, um sicherzustellen, dass ihre böswilligen Aktivitäten unentdeckt und ungehemmt bleiben. Es versucht, SQL-bezogene Dienste zu stoppen und zu entfernen, Volume-Schattenkopien zu löschen, Systemereignisprotokolle zu löschen, sicherheitsrelevante Prozesse zu beenden und Raccine zu umgehen – ein Open-Source-Tool zur Abwehr von Ransomware-Angriffen. Erst nach Abschluss dieser Schritte wird der Verschlüsselungsprozess eingeleitet, gefolgt von der Platzierung eines Lösegeldscheins in jedem kompromittierten Verzeichnis.