Mallox Ransomware går etter ofre ved å treffe MS-SQL-servere

Palo Alto Networks Unit 42 rapporterte en svimlende 174 % økning i Mallox løsepengevareaktiviteter i 2023, sammenlignet med året før.

Som mange andre trusselaktører for løsepengevare, har Mallox løsepengevare tatt i bruk strategien for dobbel utpressing. Denne tilnærmingen innebærer å stjele sensitive data fra organisasjoner før de krypterer filene deres. Deretter truer trusselaktørene med å frigi de stjålne dataene på et lekkasjested for å tvinge ofrene til å betale løsepenger. Sikkerhetsforskerne Lior Rochberger og Shimi Cohen delte disse funnene i en rapport med nettstedet The Hacker News.

Mallox er assosiert med en trusselaktør kjent for å operere andre ransomware-stammer som TargetCompany, Tohnichi, Fargo og den nyere Xollam. Dens fremvekst dateres tilbake til juni 2021.

Sektorene som er mest fremtredende målrettet av Mallox inkluderer produksjon, profesjonelle og juridiske tjenester, og engros- og detaljhandel.

Mallox går etter MS-SQL-servere

En av de distinkte egenskapene til denne gruppen er dens utnyttelse av dårlig sikrede MS-SQL-servere gjennom ordbokangrep som et middel til å trenge inn i ofrenes nettverk. Imidlertid har et avvik fra dette mønsteret blitt observert i Xollam, som, som avslørt av Trend Micro forrige måned, bruker ondsinnede OneNote-filvedlegg for førstegangstilgang.

Når angriperne har fått fotfeste på den infiserte verten, utfører de en PowerShell-kommando for å hente løsepengelasten fra en ekstern server.

Binæren som brukes av Mallox tar flere skritt for å sikre at dens ondsinnede aktiviteter forblir uoppdaget og uhemmet. Den prøver å stoppe og fjerne SQL-relaterte tjenester, slette volumskyggekopier, slette systemhendelseslogger, avslutte sikkerhetsrelaterte prosesser og omgå Raccine – et åpen kildekode-verktøy utviklet for å motvirke løsepengevareangrep. Først etter å ha fullført disse trinnene, starter den krypteringsprosessen, etterfulgt av plassering av en løsepengenota i hver kompromittert katalog.