Mallox Ransomware ściga ofiary, atakując serwery MS-SQL

Jednostka Palo Alto Networks Unit 42 odnotowała oszałamiający, 174% wzrost aktywności oprogramowania ransomware Mallox w 2023 r. w porównaniu z rokiem poprzednim.

Podobnie jak wielu innych cyberprzestępców ransomware, ransomware Mallox przyjęło strategię podwójnego wymuszenia. Takie podejście polega na kradzieży poufnych danych z organizacji przed zaszyfrowaniem ich plików. Następnie cyberprzestępcy grożą udostępnieniem skradzionych danych na stronie wycieku, aby zmusić ofiary do zapłacenia okupu. Badacze bezpieczeństwa Lior Rochberger i Shimi Cohen podzielili się tymi odkryciami w raporcie dla strony internetowej The Hacker News.

Mallox jest powiązany z aktorem znanym z obsługi innych odmian oprogramowania ransomware, takich jak TargetCompany, Tohnichi, Fargo i nowszy Xollam. Jego pojawienie się datuje się na czerwiec 2021 roku.

Sektory, na które Mallox najbardziej zwraca uwagę, to produkcja, usługi profesjonalne i prawne oraz branża hurtowa i detaliczna.

Mallox idzie w ślady serwerów MS-SQL

Jedną z charakterystycznych cech tej grupy jest wykorzystywanie słabo zabezpieczonych serwerów MS-SQL poprzez ataki słownikowe w celu penetracji sieci ofiar. Jednak odstępstwo od tego wzorca zaobserwowano w Xollam, który, jak ujawnił Trend Micro w zeszłym miesiącu, wykorzystuje złośliwe załączniki plików programu OneNote w celu uzyskania wstępnego dostępu.

Gdy atakujący zdobędą przyczółek na zainfekowanym hoście, wykonują polecenie PowerShell w celu pobrania ładunku oprogramowania ransomware ze zdalnego serwera.

Plik binarny wykorzystywany przez Mallox podejmuje kilka kroków, aby zapewnić, że jego złośliwe działania pozostaną niewykryte i nie będą hamowane. Próbuje zatrzymać i usunąć usługi związane z SQL, usunąć kopie woluminów w tle, wyczyścić dzienniki zdarzeń systemowych, zakończyć procesy związane z bezpieczeństwem i ominąć Raccine - narzędzie open source zaprojektowane do przeciwdziałania atakom ransomware. Dopiero po wykonaniu tych kroków inicjuje proces szyfrowania, po którym następuje umieszczenie żądania okupu w każdym skompromitowanym katalogu.