Το Mallox Ransomware κυνηγά τα θύματα χτυπώντας τους διακομιστές MS-SQL
Το Palo Alto Networks Unit 42 ανέφερε μια εκπληκτική αύξηση 174% στις δραστηριότητες ransomware Mallox το 2023, σε σύγκριση με το προηγούμενο έτος.
Όπως πολλοί άλλοι παράγοντες απειλών ransomware, το Mallox ransomware έχει υιοθετήσει τη στρατηγική του διπλού εκβιασμού. Αυτή η προσέγγιση περιλαμβάνει την κλοπή ευαίσθητων δεδομένων από οργανισμούς πριν από την κρυπτογράφηση των αρχείων τους. Στη συνέχεια, οι φορείς της απειλής απειλούν να δημοσιοποιήσουν τα κλεμμένα δεδομένα σε μια τοποθεσία διαρροής για να εξαναγκάσουν τα θύματα να πληρώσουν το τέλος λύτρων. Οι ερευνητές ασφαλείας Lior Rochberger και Shimi Cohen μοιράστηκαν αυτά τα ευρήματα σε μια αναφορά με τον ιστότοπο The Hacker News.
Το Mallox σχετίζεται με έναν παράγοντα απειλών που είναι γνωστός για τη λειτουργία άλλων ποικιλιών ransomware όπως το TargetCompany, το Tohnichi, το Fargo και το πιο πρόσφατο Xollam. Η εμφάνισή του χρονολογείται από τον Ιούνιο του 2021.
Οι τομείς που στοχεύει περισσότερο η Mallox περιλαμβάνουν τη μεταποίηση, τις επαγγελματικές και νομικές υπηρεσίες και τις βιομηχανίες χονδρικής και λιανικής.
Το Mallox ακολουθεί τους διακομιστές MS-SQL
Ένα από τα ξεχωριστά χαρακτηριστικά αυτής της ομάδας είναι η εκμετάλλευση κακώς ασφαλισμένων διακομιστών MS-SQL μέσω επιθέσεων λεξικών ως μέσο διείσδυσης στα δίκτυα των θυμάτων. Ωστόσο, μια απόκλιση από αυτό το μοτίβο έχει παρατηρηθεί στο Xollam, το οποίο, όπως αποκαλύφθηκε από την Trend Micro τον περασμένο μήνα, χρησιμοποιεί κακόβουλα συνημμένα αρχείων OneNote για αρχική πρόσβαση.
Μόλις οι εισβολείς αποκτήσουν βάση στον μολυσμένο κεντρικό υπολογιστή, εκτελούν μια εντολή PowerShell για να ανακτήσουν το ωφέλιμο φορτίο ransomware από έναν απομακρυσμένο διακομιστή.
Το δυαδικό αρχείο που χρησιμοποιεί η Mallox κάνει πολλά βήματα για να διασφαλίσει ότι οι κακόβουλες δραστηριότητές του θα περάσουν απαρατήρητες και ανεμπόδιστες. Προσπαθεί να σταματήσει και να αφαιρέσει υπηρεσίες που σχετίζονται με SQL, να διαγράψει σκιώδη αντίγραφα τόμου, να διαγράψει τα αρχεία καταγραφής συμβάντων συστήματος, να τερματίσει τις διαδικασίες που σχετίζονται με την ασφάλεια και να παρακάμψει το Raccine - ένα εργαλείο ανοιχτού κώδικα που έχει σχεδιαστεί για την αντιμετώπιση επιθέσεων ransomware. Μόνο μετά την ολοκλήρωση αυτών των βημάτων, ξεκινά τη διαδικασία κρυπτογράφησης, ακολουθούμενη από την τοποθέτηση μιας σημείωσης λύτρων σε κάθε κατάλογο που έχει παραβιαστεί.
