Mallox Ransomware insegue le vittime colpendo i server MS-SQL
L'Unità 42 di Palo Alto Networks ha riportato uno sbalorditivo aumento del 174% delle attività di ransomware Mallox nel 2023, rispetto all'anno precedente.
Come molti altri attori delle minacce ransomware, il ransomware Mallox ha adottato la strategia della doppia estorsione. Questo approccio comporta il furto di dati sensibili dalle organizzazioni prima di crittografare i loro file. Successivamente, gli attori della minaccia minacciano di rilasciare i dati rubati su un sito di fuga per costringere le vittime a pagare la tassa di riscatto. I ricercatori di sicurezza Lior Rochberger e Shimi Cohen hanno condiviso questi risultati in un rapporto con il sito web The Hacker News.
Mallox è associato a un attore di minacce noto per aver gestito altri ceppi di ransomware come TargetCompany, Tohnichi, Fargo e il più recente Xollam. La sua comparsa risale al giugno 2021.
I settori maggiormente presi di mira da Mallox includono la produzione, i servizi professionali e legali e le industrie all'ingrosso e al dettaglio.
Mallox attacca i server MS-SQL
Una delle caratteristiche distintive di questo gruppo è lo sfruttamento di server MS-SQL scarsamente protetti tramite attacchi a dizionario come mezzo per penetrare nelle reti delle vittime. Tuttavia, è stata osservata una deviazione da questo modello in Xollam, che, come rivelato da Trend Micro il mese scorso, utilizza file allegati dannosi di OneNote per l'accesso iniziale.
Una volta che gli aggressori hanno preso piede sull'host infetto, eseguono un comando PowerShell per recuperare il payload del ransomware da un server remoto.
Il file binario impiegato da Mallox adotta diversi passaggi per garantire che le sue attività dannose non vengano rilevate e non siano inibite. Tenta di arrestare e rimuovere i servizi relativi a SQL, eliminare le copie shadow del volume, cancellare i registri degli eventi di sistema, terminare i processi relativi alla sicurezza e aggirare Raccine, uno strumento open source progettato per contrastare gli attacchi ransomware. Solo dopo aver completato questi passaggi, avvia il processo di crittografia, seguito dal posizionamento di una richiesta di riscatto in ogni directory compromessa.
