Mallox ransomware
A Sekoia Threat & Detection Research (TDR) kutatói megfigyeltek egy incidenst az MS-SQL (Microsoft SQL) a honeypot rendszerükön, ami egy behatolási készlet célpontja volt, amely a brute-force taktikát használta, és célja a Mallox zsarolóprogram telepítése volt a PureCrypteren keresztül, több MS-SQL kihasználási technikán keresztül.
A Mallox-minták vizsgálata során két, eltérő működési móddal rendelkező kísérletet azonosítottak. Az első a sebezhető eszközök kihasználására összpontosít, míg a második az információs rendszerek szélesebb körű, nagyobb léptékű kompromittálására törekszik. A Mallox ransomware-művelete 2021 júniusa óta aktív, és idővel a (privát) RaaS-modell és a kettős zsarolási technika átvételével növelte elérhetőségét. A jelentésben részletezett MS-SQL kihasználási műveletek összhangban vannak a Mallox csoporthoz tartozó, korábban dokumentált kezdeti hozzáférési módszerekkel.
A Mallox közelmúltbeli vizsgálatai értékes betekintést nyújtottak az üzleti modellbe. Különösen érdekes két különböző működési módszer alkalmazása. Az első a sebezhető szerverek egyedi műveletben történő megcélzását jelenti, ami lehetővé teszi, hogy a viszonylag alacsony bevételért cserébe diszkrét maradjon. A második módszer az információs rendszerek szélesebb körű kompromisszumát foglalja magában, kettős zsarolási taktikával párosulva, ami jelentősen magasabb bevételt eredményez.
A Sekoia jelentése részletesen ismerteti a telepített MS-SQL-kiszolgáló kompromittálására használt technikákat, a Mallox ransomware-t és az ilyen fenyegetések jövőbeni mérséklésére szolgáló észlelési lehetőségekbe.