Mallox 勒索软件通过攻击 MS-SQL 服务器来追捕受害者

Palo Alto Networks Unit 42 报告称，与前一年相比，2023 年 Mallox 勒索软件活动激增了 174%。

与许多其他勒索软件威胁行为者一样，Mallox 勒索软件采用了双重勒索策略。这种方法涉及在加密文件之前从组织窃取敏感数据。随后，威胁行为者威胁要在泄露网站上发布被盗数据，以迫使受害者支付赎金。安全研究人员 Lior Rochberger 和 Shimi Cohen 在黑客新闻网站的一份报告中分享了这些发现。

Mallox 与一个以操作其他勒索软件品种（例如 TargetCompany、Tohnichi、Fargo 和更新的 Xollam）而闻名的威胁参与者有关联。它的出现可以追溯到2021年6月。

Mallox 最突出的目标行业包括制造业、专业和法律服务以及批发和零售业。

Mallox 瞄准 MS-SQL 服务器

该组织的显着特征之一是通过字典攻击利用安全性较差的 MS-SQL 服务器作为渗透受害者网络的手段。然而，在 Xollam 中观察到了与此模式的偏差，正如趋势科技上个月披露的那样，Xollam 使用恶意 OneNote 文件附件进行初始访问。

一旦攻击者在受感染的主机上站稳脚跟，他们就会执行 PowerShell 命令从远程服务器检索勒索软件有效负载。

Mallox 使用的二进制文件采取了几个步骤来确保其恶意活动不被发现和不受抑制。它试图停止和删除与 SQL 相关的服务、删除卷影副本、清除系统事件日志、终止与安全相关的进程以及绕过 Raccine（一种旨在对抗勒索软件攻击的开源工具）。只有完成这些步骤后，它才会启动加密过程，然后在每个受感染的目录中放置勒索字条。