Mallox Ransomware naikina aukas, atsitrenkdama į MS-SQL serverius
„Palo Alto Networks Unit 42“ pranešė, kad 2023 m., palyginti su ankstesniais metais, stulbinantis „Mallox“ išpirkos reikalaujančių programų padidėjimas 174%.
Kaip ir daugelis kitų išpirkos programinės įrangos grėsmės dalyvių, Mallox ransomware ėmėsi dvigubo turto prievartavimo strategijos. Šis metodas apima neskelbtinų duomenų vagystę iš organizacijų prieš užšifruojant jų failus. Vėliau grėsmės veikėjai grasina paskelbti pavogtus duomenis nutekėjusioje svetainėje, kad priverstų aukas sumokėti išpirkos mokestį. Saugumo tyrinėtojai Lioras Rochbergeris ir Shimi Cohenas pasidalino šiomis išvadomis tinklalapyje „The Hacker News“.
Mallox yra susijęs su grėsmės veikėju, žinomu dėl kitų išpirkos reikalaujančių programų, tokių kaip „TargetCompany“, „Tohnichi“, „Fargo“ ir naujesnis „Xollam“, valdymas. Jo atsiradimas datuojamas 2021 m. birželio mėn.
Sektoriai, į kuriuos labiausiai orientuojasi Mallox, yra gamyba, profesionalios ir teisinės paslaugos bei didmeninė ir mažmeninė prekyba.
Mallox eina po MS-SQL serverių
Viena iš išskirtinių šios grupės ypatybių yra prastai apsaugotų MS-SQL serverių išnaudojimas per žodyno atakas kaip priemonė įsiskverbti į aukų tinklus. Tačiau Xollam buvo pastebėtas nukrypimas nuo šio modelio, kuris, kaip praėjusį mėnesį atskleidė Trend Micro, pradinei prieigai naudoja kenkėjiškus „OneNote“ failų priedus.
Kai užpuolikai įsitvirtina užkrėstame pagrindiniame kompiuteryje, jie vykdo „PowerShell“ komandą, kad iš nuotolinio serverio gautų išpirkos reikalaujančią programinę įrangą.
„Mallox“ naudojama dvejetainė sistema imasi kelių veiksmų, kad užtikrintų, jog jos kenkėjiška veikla būtų nepastebėta ir netrukdoma. Jis bando sustabdyti ir pašalinti su SQL susijusias paslaugas, ištrinti šešėlines kopijas, išvalyti sistemos įvykių žurnalus, nutraukti su sauga susijusius procesus ir apeiti Raccine – atvirojo kodo įrankį, skirtą kovoti su išpirkos reikalaujančių programų atakomis. Tik atlikus šiuos veiksmus, jis pradeda šifravimo procesą, o po to kiekviename pažeistame kataloge įdedamas išpirkos raštelis.
