Mallox Ransomware går efter offer genom att träffa MS-SQL-servrar

Palo Alto Networks Unit 42 rapporterade en häpnadsväckande ökning på 174 % av Mallox ransomware-aktiviteter 2023, jämfört med föregående år.

Liksom många andra aktörer som hotar ransomware har Mallox ransomware antagit strategin för dubbel utpressning. Detta tillvägagångssätt innebär att stjäla känslig data från organisationer innan de krypterar deras filer. Därefter hotar hotaktörerna att släppa de stulna uppgifterna på en läckageplats för att tvinga offren att betala lösensumman. Säkerhetsforskarna Lior Rochberger och Shimi Cohen delade dessa fynd i en rapport med webbplatsen The Hacker News.

Mallox förknippas med en hotaktör som är känd för att driva andra ransomware-stammar som TargetCompany, Tohnichi, Fargo och den nyare Xollam. Dess uppkomst går tillbaka till juni 2021.

De sektorer som Mallox främst riktar sig till inkluderar tillverkning, professionella och juridiska tjänster samt grossist- och detaljhandelsindustrin.

Mallox går efter MS-SQL-servrar

En av de distinkta egenskaperna hos denna grupp är dess utnyttjande av dåligt säkrade MS-SQL-servrar genom ordboksattacker som ett sätt att penetrera offrens nätverk. En avvikelse från detta mönster har dock observerats i Xollam, som, som avslöjades av Trend Micro förra månaden, använder skadliga OneNote-filbilagor för första åtkomst.

När angriparna väl fått fotfäste på den infekterade värden, kör de ett PowerShell-kommando för att hämta ransomware-nyttolasten från en fjärrserver.

Binären som används av Mallox tar flera steg för att säkerställa att dess skadliga aktiviteter förblir oupptäckta och ohämmade. Den försöker stoppa och ta bort SQL-relaterade tjänster, ta bort volymskuggkopior, rensa systemhändelseloggar, avsluta säkerhetsrelaterade processer och kringgå Raccine – ett verktyg med öppen källkod designat för att motverka attacker från ransomware. Först efter att ha slutfört dessa steg initierar den sin krypteringsprocess, följt av placeringen av en lösennota i varje utsatt katalog.