Программа-вымогатель Mallox преследует жертв, поражая серверы MS-SQL

Подразделение 42 Palo Alto Networks сообщило о ошеломляющем росте активности программ-вымогателей Mallox на 174% в 2023 году по сравнению с предыдущим годом.

Как и многие другие субъекты угроз программ-вымогателей, программа-вымогатель Mallox приняла стратегию двойного вымогательства. Этот подход включает в себя кражу конфиденциальных данных у организаций перед шифрованием их файлов. Впоследствии злоумышленники угрожают опубликовать украденные данные на сайте утечки, чтобы заставить жертв заплатить выкуп. Исследователи безопасности Лиор Рохбергер и Шими Коэн поделились этими выводами в отчете с веб-сайтом The Hacker News.

Mallox связан с злоумышленником, известным тем, что использует другие штаммы программ-вымогателей, такие как TargetCompany, Tohnichi, Fargo и более поздний Xollam. Его появление датируется июнем 2021 года.

Сектора, на которые Mallox больше всего ориентируется, включают производство, профессиональные и юридические услуги, а также оптовую и розничную торговлю.

Mallox идет за серверами MS-SQL

Одной из отличительных особенностей этой группы является использование плохо защищенных серверов MS-SQL посредством атак по словарю в качестве средства проникновения в сети жертв. Однако в Xollam наблюдается отклонение от этой модели, которая, как сообщила Trend Micro в прошлом месяце, использует вредоносные вложения файлов OneNote для начального доступа.

Как только злоумышленники закрепятся на зараженном хосте, они выполнят команду PowerShell, чтобы получить полезную нагрузку программы-вымогателя с удаленного сервера.

Двоичный файл, используемый Mallox, предпринимает несколько шагов, чтобы гарантировать, что его вредоносные действия останутся незамеченными и беспрепятственными. Он пытается остановить и удалить службы, связанные с SQL, удалить теневые копии томов, очистить журналы системных событий, завершить процессы, связанные с безопасностью, и обойти Raccine — инструмент с открытым исходным кодом, предназначенный для противодействия атакам программ-вымогателей. Только после выполнения этих шагов он инициирует процесс шифрования с последующим размещением записки о выкупе в каждом скомпрометированном каталоге.