Mallox 勒索軟件通過攻擊 MS-SQL 服務器來追捕受害者

Palo Alto Networks Unit 42 報告稱，與前一年相比，2023 年 Mallox 勒索軟件活動激增了 174%。

與許多其他勒索軟件威脅行為者一樣，Mallox 勒索軟件採用了雙重勒索策略。這種方法涉及在加密文件之前從組織竊取敏感數據。隨後，威脅行為者威脅要在洩露網站上發布被盜數據，以迫使受害者支付贖金。安全研究人員 Lior Rochberger 和 Shimi Cohen 在黑客新聞網站的一份報告中分享了這些發現。

Mallox 與一個以操作其他勒索軟件品種（例如 TargetCompany、Tohnichi、Fargo 和更新的 Xollam）而聞名的威脅參與者有關聯。它的出現可以追溯到2021年6月。

Mallox 最突出的目標行業包括製造業、專業和法律服務以及批發和零售業。

Mallox 瞄準 MS-SQL 服務器

該組織的顯著特徵之一是通過字典攻擊利用安全性較差的 MS-SQL 服務器作為滲透受害者網絡的手段。然而，在 Xollam 中觀察到了與此模式的偏差，正如趨勢科技上個月披露的那樣，Xollam 使用惡意 OneNote 文件附件進行初始訪問。

一旦攻擊者在受感染的主機上站穩腳跟，他們就會執行 PowerShell 命令從遠程服務器檢索勒索軟件有效負載。

Mallox 使用的二進製文件採取了幾個步驟來確保其惡意活動不被發現和不受抑制。它試圖停止和刪除與 SQL 相關的服務、刪除卷影副本、清除系統事件日誌、終止與安全相關的進程以及繞過 Raccine（一種旨在對抗勒索軟件攻擊的開源工具）。只有完成這些步驟後，它才會啟動加密過程，然後在每個受感染的目錄中放置勒索字條。