Mallox ランサムウェアは MS-SQL サーバーを攻撃して被害者を狙う

パロアルトネットワークス Unit 42 は、2023 年に Mallox ランサムウェア活動が前年比 174% という驚異的な急増を報告しました。

他の多くのランサムウェア脅威アクターと同様に、Mallox ランサムウェアは二重恐喝戦略を採用しています。このアプローチには、ファイルを暗号化する前に組織から機密データを盗むことが含まれます。その後、攻撃者は、被害者に身代金の支払いを強要するために、盗んだデータを漏洩サイトに公開すると脅迫します。セキュリティ研究者の Lior Rochberger 氏と Shimi Cohen 氏は、これらの調査結果をウェブサイト The Hacker News のレポートで共有しました。

Mallox は、TargetCompany、Tohnichi、Fargo、および最近の Xollam などの他のランサムウェア株を操作することで知られる脅威アクターと関連しています。その出現は2021年6月に遡ります。

Mallox が最も顕著に標的としている分野には、製造業、専門サービスおよび法律サービス、卸売業および小売業が含まれます。

Mallox が MS-SQL サーバーを狙う

このグループの際立った特徴の 1 つは、被害者のネットワークに侵入する手段として、辞書攻撃を通じてセキュリティが不十分な MS-SQL サーバーを悪用することです。ただし、このパターンからの逸脱が Xollam で観察されており、トレンドマイクロが先月明らかにしたように、Xollam は初期アクセスに悪意のある OneNote ファイルの添付ファイルを使用します。

攻撃者は感染したホストに足場を築くと、PowerShell コマンドを実行してリモート サーバーからランサムウェア ペイロードを取得します。

Mallox が使用するバイナリは、悪意のある活動が検出されず、抑制されないようにするためにいくつかの手順を実行します。 SQL 関連サービスの停止と削除、ボリューム シャドウ コピーの削除、システム イベント ログのクリア、セキュリティ関連プロセスの終了、ランサムウェア攻撃に対抗するために設計されたオープンソース ツールである Raccine のバイパスを試みます。これらの手順を完了した後でのみ、暗号化プロセスが開始され、侵害されたすべてのディレクトリに身代金メモが配置されます。