Il est actif depuis juin 2021 et exploite les serveurs MS-SQL non sécurisés comme vecteur de pénétration pour compromettre les réseaux des victimes.
Récemment, les chercheurs de l’Unit 42 ont observé une hausse des activités du ransomware Mallox, avec une augmentation de près de 174 % par rapport à l’année précédente, exploitant les serveurs MS-SQL pour distribuer le ransomware. Les équipes de réponse aux d’incidents de l’Unit 42 ont observé le ransomware Mallox en utilisant la méthode d’attaque par force brute, l’exfiltration de données et des outils tels que des scanners réseau. En outre, l’Unit 42 a observé que le groupe de ransomware Mallox travaille à l’expansion de ses opérations et au recrutement d’affiliés sur des forums de piratage.
Le ransomware Mallox, comme de nombreux autres acteurs de la menace de ce type, s’appuie sur la tendance de la double extorsion : voler des données avant de chiffrer les fichiers d’une organisation, puis menacer de publier les données volées sur un site de fuite comme levier pour convaincre les victimes de payer la rançon. Chaque victime reçoit une clé privée pour interagir avec le groupe et négocier les conditions et le paiement.
Le groupe de rançongiciels Mallox a déjà fait des centaines de victimes. Bien que le nombre réel de victimes reste inconnu, la télémétrie de Palo Alto Networks indique des dizaines de victimes potentielles dans le monde entier, dans de multiples industries, y compris la fabrication, les services professionnels et juridiques, le commerce de gros et de détail.
Depuis le début de 2023, il y a eu une hausse constante des activités de Mallox. Selon la télémétrie de Palo Alto Networks et les données recueillies à partir de sources d’informations sur les menaces ouvertes, en 2023, il y a eu une augmentation d’environ 174 % des attaques de Mallox par rapport à la seconde moitié de 2022.
Depuis son émergence en 2021, le groupe Mallox a maintenu la même approche pour obtenir un accès initial : le groupe cible les serveurs MS-SQL non sécurisés pour infiltrer un réseau. Ces attaques commencent par une attaque par force brute par dictionnaire, en essayant une liste de mots de passe connus ou couramment utilisés contre les serveurs MS-SQL. Après avoir obtenu l’accès, les attaquants utilisent une ligne de commande PowerShell pour télécharger la charge utile du ransomware Mallox à partir d’un serveur distant.
Avant tout cryptage, la charge utile du ransomware tente plusieurs actions pour assurer la réussite de l’exécution du ransomware, telles que :
Tentatives d’arrêt et de suppression des services liés à SQL à l’aide de sc.exe et net.exe. De cette façon, le ransomware peut accéder aux données des fichiers de la victime et les chiffrer.
Tente d’effacer les journaux d’application, de sécurité, de configuration et d’événements système à l’aide de l’utilitaire de ligne de commande wevtutil de Microsoft pour contrecarrer les efforts de détection et d’analyse médico-légale.
Modifie l’autorisation de fichier à l’aide de la commande takeown.exe intégrée à Windows, refusant l’accès à cmd.exe et à d’autres processus système clés.
Empêche l’administrateur système de charger manuellement la fonction de récupération d’image système à l’aide de bbcdedit.exe.
Tente de mettre fin aux processus et services liés à la sécurité en utilisant taskkill.exe pour échapper aux solutions de sécurité.
Tentatives de contourner le produit anti-ransomware Raccine, s’il est présent, en supprimant sa clé de registre.
Le groupe de rançongiciels Mallox a été plus actif au cours des derniers mois, et ses récents efforts de recrutement pourraient leur permettre d’attaquer plus d’organisations si la campagne de recrutement est couronnée de succès.
Les organisations doivent mettre en œuvre les meilleures pratiques en matière de sécurité et être prêtes à se défendre contre la menace persistante des rançongiciels. Cela est vrai non seulement pour le ransomware Mallox, mais aussi pour d’autres groupes criminels opportunistes.
L’équipe de l’unité 42 recommande de s’assurer que toutes les applications Internet sont correctement configurées et que tous les systèmes sont corrigés et à jour dans la mesure du possible. Ces mesures aideront à réduire la surface d’attaque, limitant ainsi les techniques d’exploitation disponibles pour les attaquants.