Mallox Ransomware persigue a las víctimas atacando servidores MS-SQL
La Unidad 42 de Palo Alto Networks informó un aumento asombroso del 174 % en las actividades de ransomware Mallox en 2023, en comparación con el año anterior.
Al igual que muchos otros actores de amenazas de ransomware, Mallox ransomware ha adoptado la estrategia de doble extorsión. Este enfoque implica robar datos confidenciales de las organizaciones antes de cifrar sus archivos. Posteriormente, los actores de la amenaza amenazan con liberar los datos robados en un sitio de fuga para obligar a las víctimas a pagar la tarifa del rescate. Los investigadores de seguridad Lior Rochberger y Shimi Cohen compartieron estos hallazgos en un informe con el sitio web The Hacker News.
Mallox está asociado con un actor de amenazas conocido por operar otras variedades de ransomware como TargetCompany, Tohnichi, Fargo y el más reciente Xollam. Su aparición se remonta a junio de 2021.
Los sectores más destacados a los que se dirige Mallox incluyen la fabricación, los servicios profesionales y legales, y las industrias mayorista y minorista.
Mallox va tras los servidores MS-SQL
Una de las características distintivas de este grupo es su explotación de servidores MS-SQL poco protegidos a través de ataques de diccionario como medio para penetrar en las redes de las víctimas. Sin embargo, se ha observado una desviación de este patrón en Xollam, que, como reveló Trend Micro el mes pasado, utiliza archivos adjuntos maliciosos de OneNote para el acceso inicial.
Una vez que los atacantes se afianzan en el host infectado, ejecutan un comando de PowerShell para recuperar la carga útil del ransomware desde un servidor remoto.
El binario empleado por Mallox toma varios pasos para garantizar que sus actividades maliciosas no sean detectadas ni inhibidas. Intenta detener y eliminar servicios relacionados con SQL, eliminar instantáneas de volumen, borrar registros de eventos del sistema, finalizar procesos relacionados con la seguridad y omitir Raccine, una herramienta de código abierto diseñada para contrarrestar los ataques de ransomware. Solo después de completar estos pasos, inicia su proceso de cifrado, seguido de la colocación de una nota de rescate en cada directorio comprometido.
