Mallox Ransomware vai atrás das vítimas ao atingir servidores MS-SQL

A Unidade 42 da Palo Alto Networks relatou um aumento impressionante de 174% nas atividades do ransomware Mallox em 2023, em comparação com o ano anterior.

Como muitos outros agentes de ameaças de ransomware, o ransomware Mallox adotou a estratégia de dupla extorsão. Essa abordagem envolve roubar dados confidenciais de organizações antes de criptografar seus arquivos. Posteriormente, os agentes de ameaças ameaçam liberar os dados roubados em um site de vazamento para coagir as vítimas a pagar a taxa de resgate. Os pesquisadores de segurança Lior Rochberger e Shimi Cohen compartilharam essas descobertas em um relatório com o site The Hacker News.

O Mallox está associado a um ator de ameaça conhecido por operar outras variedades de ransomware, como TargetCompany, Tohnichi, Fargo e o mais recente Xollam. Seu surgimento remonta a junho de 2021.

Os setores mais visados pela Mallox incluem manufatura, serviços profissionais e jurídicos e indústrias de atacado e varejo.

Mallox vai atrás de servidores MS-SQL

Uma das características distintas desse grupo é a exploração de servidores MS-SQL mal protegidos por meio de ataques de dicionário como meio de penetrar nas redes das vítimas. No entanto, um desvio desse padrão foi observado no Xollam, que, conforme divulgado pela Trend Micro no mês passado, usa anexos de arquivos maliciosos do OneNote para acesso inicial.

Assim que os invasores conseguem se posicionar no host infectado, eles executam um comando do PowerShell para recuperar a carga útil do ransomware de um servidor remoto.

O binário empregado pelo Mallox toma várias medidas para garantir que suas atividades maliciosas não sejam detectadas e inibidas. Ele tenta interromper e remover serviços relacionados ao SQL, excluir cópias de sombra de volume, limpar logs de eventos do sistema, encerrar processos relacionados à segurança e ignorar Raccine - uma ferramenta de código aberto projetada para combater ataques de ransomware. Somente após concluir essas etapas, ele inicia seu processo de criptografia, seguido pela colocação de uma nota de resgate em cada diretório comprometido.