En stigning i ransomware-angreb tilskrevet Mallox-gruppen er blevet afsløret i nyere forskning. Denne undersøgelse fremhæver en alarmerende eskalering af angreb på utilstrækkeligt sikrede Microsoft SQL (MSSQL)-servere fra ransomware-gruppen, Mallox.
Ifølge cybersikkerhedsfirmaet Palo Alto Networks har der været en svimlende 174% stigning i Mallox-angreb i år sammenlignet med sidste halvdel af 2022.
Palo Altos forskere udtalte i en rapport, "Mallox ransomware-gruppen hævder adskillige ofre. Selvom det nøjagtige antal ofre forbliver uoplyst, tyder vores sporing på snesevis af potentielle mål globalt, der spænder over forskellige sektorer såsom fremstilling, professionelle og juridiske tjenester, samt engros- og detailbranchen."
MSSQL som vektor for Ransomware-indgreb
Mallox infiltrerer primært netværk gennem kompromittering af offentligt eksponerede MSSQL-servere, som har svage adgangsoplysninger. Gruppen anvender overvejende en foretrukket teknik til at anvende ordbogsbaserede brute-force-angreb, der udnytter et katalog af velkendte eller almindeligt anvendte adgangskoder. Når først indtastningen er opnået, starter angriberne en kommandolinje og et PowerShell-script. Dette script henter yderligere scripts og introducerer i sidste ende Mallox-nyttelasten fra en fjernserver, der udfører dem i systemet. Flere af disse filer indeholder betegnelser som updt.ps1, system.bat og tzt.exe.
System.bat-scriptet, omdøbt til tzt.bat, etablerer et brugernavn, "SystemHelp", og aktiverer Remote Desktop Protocol (RDP)-adgang for det. Dette giver angribere en alternativ måde at oprette forbindelse til den kompromitterede maskine.
Filen tzt.exe, der fungerer som Mallox-nyttelasten, udløses ved hjælp af Windows Management Instrumentation (WMI). Den bestræber sig på at udelukke og eliminere ægte processer som sc.exe og net.exe. Desuden bestræber den sig på at slette Volume Shadow-kopier for at forhindre datagendannelse. Ransomwaren anvender også Microsofts wevtutil-kommandolinjeværktøj til at slette applikations-, sikkerheds- og systemhændelseslogfiler, hvilket hindrer retsmedicinske analyser. Yderligere taktikker omfatter nedlukning af processer og tjenester forbundet med sikkerhedssoftware for at undgå registrering, omgåelse af Raccine anti-ransomware-programmet og forhindre systemadministratorer i at indlæse funktionen System Image Recovery gennem bcdedit.exe.
Den undersøgte Mallox-prøve af Palo Alto Networks krypterede filer ved hjælp af ChaCha20-algoritmen og tilføjede .malox-udvidelsen til de krypterede filer. Angriberne har dog brugt en række andre filtypenavne i tidligere tilfælde, såsom .FARGO3, .exploit, .avast, .bitenc, .xollam og endda inkorporeret ofrenes navne.
Ekspansive forhåbninger fra Mallox Ransomware-fraktionen
Efter at have opstået i det mindste siden juni 2021, omfavner Mallox-gruppen, ligesom mange nutidige ransomware-fraktioner, dobbelt afpresningstaktik. Ud over at kryptere filer, stjæler gerningsmændene data og udsender trusler om offentlig datalækage, medmindre der betales løsesummer.
I januar 2023 leverede en person, der menes at være tilknyttet Mallox, et interview, der karakteriserede gruppen som relativt kompakt, men med planer om udvidelse. I en sigende udvikling identificerede Palo Alto-forskere annoncer på to underjordiske fora, der signalerede etableringen af et ransomware-as-a-service (RaaS)-initiativ af Mallox-gruppen, ledsaget af en søgen efter datterselskaber.
Forskerne advarede, "Mallox ransomware-gruppen har demonstreret øget aktivitet i de seneste måneder, og deres nuværende rekrutteringskampagne kan forbedre deres kapacitet til at angribe flere organisationer, afhængigt af succesen med deres rekrutteringsindsats. Organisationer bør omgående vedtage optimale sikkerhedsforanstaltninger og forblive udstyret for at modvirke den vedvarende ransomware-trussel."
Blot den foregående måned afslørede cybersikkerhedsvirksomheden Trustwave, at MSSQL ved at trække data fra deres honeypots skilte sig ud som det fremmeste mål for overfald blandt alle databaseservere. MSSQL brute-force-angreb opvejede dem, der var rettet mod andre databaser, og udgjorde over 93 % af angrebene, hvor nogle tilfælde toppede med svimlende 3 millioner login-forsøg.