A Mallox Ransomware az MS-SQL szerverek lecsapásával az áldozatok után megy
A Palo Alto Networks 42-es egysége a Mallox ransomware-tevékenységének elképesztő, 174%-os növekedéséről számolt be 2023-ban az előző évhez képest.
Sok más ransomware-fenyegető szereplőhöz hasonlóan a Mallox ransomware is a kettős zsarolási stratégiát alkalmazta. Ez a megközelítés magában foglalja az érzékeny adatok ellopását a szervezetektől a fájlok titkosítása előtt. Ezt követően a fenyegetés szereplői azzal fenyegetőznek, hogy kiadják az ellopott adatokat egy kiszivárogtatott oldalon, hogy az áldozatokat a váltságdíj megfizetésére kényszerítsék. Lior Rochberger és Shimi Cohen biztonsági kutatók megosztották ezeket az eredményeket a The Hacker News webhelyen megjelent jelentésben.
A Mallox egy fenyegető szereplővel áll kapcsolatban, amely más zsarolóvírus-törzsek, például a TargetCompany, a Tohnichi, a Fargo és az újabb Xollam kezeléséről ismert. Megjelenése 2021 júniusáig nyúlik vissza.
A Mallox által leginkább megcélzott ágazatok közé tartozik a feldolgozóipar, a szakmai és jogi szolgáltatások, valamint a nagy- és kiskereskedelem.
A Mallox az MS-SQL szervereket követi
Ennek a csoportnak az egyik megkülönböztetett jellemzője, hogy szótári támadásokkal kihasználja a gyengén biztonságos MS-SQL szervereket az áldozatok hálózataiba való behatolás eszközeként. Ettől a mintától azonban eltérést figyeltek meg a Xollam esetében, amely – amint azt a Trend Micro a múlt hónapban közölte – rosszindulatú OneNote-fájlmellékleteket használ a kezdeti hozzáféréshez.
Amint a támadók megveszik a lábukat a fertőzött gazdagépen, egy PowerShell-parancsot hajtanak végre, hogy lekérjék a ransomware-t egy távoli szerverről.
A Mallox által használt bináris fájl számos lépést tesz annak biztosítására, hogy rosszindulatú tevékenységei észrevétlenül és gátlás nélkül maradjanak. Megkísérli leállítani és eltávolítani az SQL-hez kapcsolódó szolgáltatásokat, törölni a kötet árnyékmásolatait, törölni a rendszer eseménynaplóit, leállítani a biztonsággal kapcsolatos folyamatokat, és megkerülni a Raccine-t – egy nyílt forráskódú eszközt, amelyet a ransomware támadások elleni küzdelemre terveztek. Csak ezeknek a lépéseknek a végrehajtása után indítja el a titkosítási folyamatot, majd minden feltört könyvtárban elhelyez egy váltságdíjat.
