Mallox Ransomware s'attaque aux victimes en frappant les serveurs MS-SQL
L'unité 42 de Palo Alto Networks a signalé une augmentation vertigineuse de 174 % des activités de ransomware Mallox en 2023, par rapport à l'année précédente.
Comme de nombreux autres acteurs de la menace de rançongiciels, le rançongiciel Mallox a adopté la stratégie de double extorsion. Cette approche consiste à voler les données sensibles des organisations avant de chiffrer leurs fichiers. Par la suite, les acteurs de la menace menacent de divulguer les données volées sur un site de fuite pour contraindre les victimes à payer les frais de rançon. Les chercheurs en sécurité Lior Rochberger et Shimi Cohen ont partagé ces découvertes dans un rapport avec le site Web The Hacker News.
Mallox est associé à un acteur menaçant connu pour exploiter d'autres souches de rançongiciels telles que TargetCompany, Tohnichi, Fargo et le plus récent Xollam. Son apparition remonte à juin 2021.
Les secteurs les plus ciblés par Mallox sont la fabrication, les services professionnels et juridiques, ainsi que les industries de gros et de détail.
Mallox s'en prend aux serveurs MS-SQL
L'une des caractéristiques distinctes de ce groupe est son exploitation de serveurs MS-SQL mal sécurisés par le biais d'attaques par dictionnaire comme moyen de pénétrer les réseaux des victimes. Cependant, un écart par rapport à ce modèle a été observé dans Xollam, qui, comme l'a révélé Trend Micro le mois dernier, utilise des pièces jointes malveillantes OneNote pour l'accès initial.
Une fois que les attaquants ont pris pied sur l'hôte infecté, ils exécutent une commande PowerShell pour récupérer la charge utile du ransomware à partir d'un serveur distant.
Le binaire utilisé par Mallox prend plusieurs mesures pour s'assurer que ses activités malveillantes ne sont ni détectées ni inhibées. Il tente d'arrêter et de supprimer les services liés à SQL, de supprimer les clichés instantanés de volumes, d'effacer les journaux d'événements système, de mettre fin aux processus liés à la sécurité et de contourner Raccine - un outil open source conçu pour contrer les attaques de ransomwares. Ce n'est qu'après avoir terminé ces étapes qu'il lance son processus de cryptage, suivi du placement d'une note de rançon dans chaque répertoire compromis.
