Ransomware Mallox Explora Servidores MS-SQL Fracos para Invadir Redes
21 de Julho de 2023

As atividades do ransomware Mallox em 2023 registraram um aumento de 174% em comparação com o ano anterior, de acordo com novas descobertas da Unit 42 da Palo Alto Networks.

"O ransomware Mallox, como muitos outros atores de ameaças de ransomware, segue a tendência de extorsão dupla: rouba dados antes de criptografar os arquivos de uma organização e, em seguida, ameaça publicar os dados roubados em um site de vazamento como alavanca para convencer as vítimas a pagar o resgate ", disseram os pesquisadores de segurança Lior Rochberger e Shimi Cohen em um novo relatório compartilhado com o The Hacker News.

Mallox está ligado a um ator de ameaças que também está ligado a outras variantes de ransomware, como TargetCompany, Tohnichi, Fargo e, mais recentemente, Xollam.

Ele entrou em cena pela primeira vez em junho de 2021.

Alguns dos setores mais visados pelo Mallox são a indústria, serviços profissionais e jurídicos, atacado e varejo.

Um aspecto notável do grupo é seu padrão de explorar servidores MS-SQL mal protegidos através de ataques de dicionário como um vetor de penetração para comprometer as redes das vítimas.

O Xollam é uma desvio à norma, pois foi observado usando anexos de arquivos OneNote maliciosos para acesso inicial, como detalhado pela Trend Micro no mês passado.

Após ganhar uma posição bem-sucedida no host infectado, um comando PowerShell é executado para recuperar o payload do ransomware de um servidor remoto.

O binário, por sua vez, tenta parar e remover serviços relacionados ao SQL, excluir cópias de sombra de volume, limpar logs de eventos do sistema, encerrar processos relacionados à segurança e contornar o Raccine, uma ferramenta de código aberto projetada para combater ataques de ransomware, antes de iniciar seu processo de criptografia, após o qual uma nota de resgate é deixada em cada diretório.

TargetCompany continua sendo um grupo pequeno e fechado, mas também foi observado recrutando afiliados para o programa de afiliados ransomware-as-a-service (RaaS) da Mallox no fórum de cibercrime RAMP.

Esta evolução ocorre na medida em que o ransomware continua a ser um esquema financeiro lucrativo, rendendo aos cibercriminosos nada menos que US $ 449,1 milhões apenas no primeiro semestre de 2023, segundo a Chainalysis.

O aumento repentino nas infecções por Mallox também é sintomático de uma tendência mais ampla em que os ataques de ransomware registraram um salto de 221% ano após ano até junho de 2023, com 434 ataques relatados apenas em junho de 2023, impulsionados principalmente pela exploração do software de transferência de arquivos MOVEit pelo Cl0p.

"O grupo ransomware Mallox tem estado mais ativo nos últimos meses e seus recentes esforços de recrutamento podem permitir que eles ataquem mais organizações se a campanha de recrutamento for bem-sucedida", disseram os pesquisadores.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...