Mallox Ransomware gaat achter slachtoffers aan door MS-SQL-servers te raken
Palo Alto Networks Unit 42 rapporteerde een duizelingwekkende stijging van 174% in Mallox-ransomware-activiteiten in 2023, in vergelijking met het voorgaande jaar.
Net als veel andere ransomware-bedreigers, heeft de Mallox-ransomware de dubbele afpersingsstrategie aangenomen. Deze aanpak omvat het stelen van gevoelige gegevens van organisaties voordat hun bestanden worden versleuteld. Vervolgens dreigen de bedreigingsactoren de gestolen gegevens vrij te geven op een leksite om slachtoffers te dwingen het losgeld te betalen. Beveiligingsonderzoekers Lior Rochberger en Shimi Cohen deelden deze bevindingen in een rapport met website The Hacker News.
Mallox wordt geassocieerd met een bedreigingsactor die bekend staat om het uitvoeren van andere ransomware-stammen, zoals TargetCompany, Tohnichi, Fargo en het meer recente Xollam. De opkomst dateert van juni 2021.
De sectoren waarop Mallox het meest gericht is, zijn onder meer productie, professionele en juridische dienstverlening, groothandel en detailhandel.
Mallox gaat achter MS-SQL-servers aan
Een van de onderscheidende kenmerken van deze groep is de exploitatie van slecht beveiligde MS-SQL-servers door middel van woordenboekaanvallen om de netwerken van slachtoffers binnen te dringen. Er is echter een afwijking van dit patroon waargenomen in Xollam, dat, zoals vorige maand onthuld door Trend Micro, kwaadaardige OneNote-bestandsbijlagen gebruikt voor eerste toegang.
Zodra de aanvallers voet aan de grond krijgen op de geïnfecteerde host, voeren ze een PowerShell-opdracht uit om de ransomware-payload van een externe server op te halen.
Het binaire bestand dat door Mallox wordt gebruikt, onderneemt verschillende stappen om ervoor te zorgen dat zijn kwaadaardige activiteiten onopgemerkt en ongeremd blijven. Het probeert SQL-gerelateerde services te stoppen en te verwijderen, volumeschaduwkopieën te verwijderen, systeemgebeurtenislogboeken te wissen, beveiligingsgerelateerde processen te beëindigen en Raccine te omzeilen - een open-sourcetool die is ontworpen om ransomware-aanvallen tegen te gaan. Pas na het voltooien van deze stappen start het zijn coderingsproces, gevolgd door het plaatsen van een losgeldbriefje in elke gecompromitteerde directory.
