Η ομάδα ransomware Mallox αυξάνει τις στοχευμένες επιθέσεις της εναντίον οργανισμών με ευάλωτους servers SQL. Η ομάδα εμφανίστηκε πρόσφατα με μια νέα παραλλαγή και πρόσθετα εργαλεία κακόβουλου λογισμικού για να πετύχει ανθεκτικότητα και να αποφύγει την ανίχνευση.
Δείτε επίσης: Mallox ransomware εκμεταλλεύεται αδύναμους MS-SQL servers για να παραβιάσει δίκτυα
Το Mallox, επίσης γνωστό ως TargetCompany, Fargo και Tohnichi, εμφανίστηκε τον Ιούνιο του 2021 και έχει ήδη ισχυριστεί ότι έχει μολύνει εκατοντάδες οργανισμούς παγκοσμίως σε τομείς όπως η παραγωγή, το λιανικό εμπόριο, το χονδρεμπόριο, η νομική βιομηχανία και οι επαγγελματικές υπηρεσίες. Η ομάδα εκμεταλλεύεται συνήθως στις επιθέσεις της δύο ευπάθειες απομακρυσμένης εκτέλεσης κώδικα σε SQL, CVE-2020-0618 και CVE-2019-1068. Ωστόσο, η ομάδα έχει επίσης αρχίσει να αλλάζει τα πράγματα σε μεταγενέστερα στάδια της επίθεσης για να διατηρεί μια αθόρυβη παρουσία στα στοχευμένα δίκτυα και να κρύβει την κακόβουλη δραστηριότητά της. Η ρουτίνα δοκιμάζει διάφορες κατευθύνσεις για να προσπαθήσει να επιμείνει, όπως η αλλαγή των διευθύνσεων URL ή των εφαρμοζόμενων διαδρομών μέχρι να βρει επιτυχώς μια περιοχή για να εκτελέσει το Remcos RAT.
Ανίχνευση μη ανιχνεύσιμου malware
Η ομάδα εντόπισε την εκστρατεία κατά τη διερεύνηση ύποπτων συνδέσεων δικτύου που σχετίζονται με το PowerShell, γεγονός που την οδήγησε στην ανακάλυψη μιας νέας παραλλαγής του Mallox, την οποία η TrendMicro αναφέρει ως TargetCompany. Η παραλλαγή ανήκει στη δεύτερη έκδοση της εν λόγω οικογένειας ransomware, η οποία συνήθως χαρακτηρίζεται από μια σύνδεση με έναν server εντολών και ελέγχου (C2) με μια σελίδα προορισμού ‘/ap.php’. Ωστόσο, δεδομένου ότι η αρχική προσπάθεια πρόσβασης τερματίστηκε και μπλοκαρίστηκε από τις υπάρχουσες υπηρεσίες ασφαλείας, οι δράστες επέλεξαν να χρησιμοποιήσουν την πλήρως μη ανιχνεύσιμη (FUD) wrapped έκδοση των δυαδικών τους αρχείων για να συνεχίσουν την επίθεσή τους.
Το FUD είναι μια τεχνική απόκρυψης που χρησιμοποιούν οι εισβολείς, η οποία αυτόματα διαστρεβλώνει το ransomware για να αποφύγει την τεχνολογία ανίχνευσης βάσει υπογραφής, βελτιώνοντας έτσι τις πιθανότητες επιτυχίας του. Το Mallox φαίνεται να χρησιμοποιεί ένα στυλ FUD που χρησιμοποιείται από το BatCloak. Η ομάδα χρησιμοποίησε επίσης το εργαλείο hacking Metasploit σε ένα μεταγενέστερο στάδιο της επίθεσης πριν το Remcos RAT ολοκληρώσει την τελική του ρουτίνα.
Παρόλο που η χρήση των FUD packers και του Metasploit δεν είναι νέες τακτικές, δείχνει πώς η Mallox, όπως και άλλοι δράστες, θα συνεχίσουν να καινοτομούν ακόμη και τα πιο απλά μέσα κατάχρησης για να παρακάμψουν τις άμυνες που έχουν δημιουργήσει οι οργανισμοί για να αποφύγουν τη διαρροή.
Πρόταση: Το Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης
Πώς να αμυνθείτε ενάντια στο Mallox Ransomware
Η TrendMicro εκτιμά ότι η πλειοψηφία των θυμάτων του Mallox εξακολουθεί να έχει ευάλωτους SQL Servers που αξιοποιούνται για να αποκτήσουν πρόσβαση. Για να το καταπολεμήσουν, οι ομάδες ασφαλείας θα πρέπει να έχουν ορατότητα στα κενά επιδιόρθωσης και να ελέγχουν όλες τις πιθανές επιφάνειες επίθεσης για να διασφαλίσουν ότι τα αντίστοιχα συστήματά τους δεν είναι επιρρεπή σε κατάχρηση και εκμετάλλευση.
Καθώς ο FUD packer που χρησιμοποιεί η Mallox φαίνεται να είναι ένα βήμα μπροστά από τις τρέχουσες υπηρεσίες ασφαλείας που χρησιμοποιούν οι περισσότεροι οργανισμοί, ίσως ήρθε η ώρα να εντείνουν το παιχνίδι και να προσθέσουν λύσεις ελέγχου αρχείων και παρακολούθησης της συμπεριφοράς που βασίζονται σε τεχνητή νοημοσύνη και μηχανική μάθηση. Επιπλέον, οι βέλτιστες πρακτικές για τον αποκλεισμό του δικτύου καθώς και τα ειδικά μέτρα ανίχνευσης και αποκλεισμού ransomware μπορούν επίσης να παρέχουν μια πολυεπίπεδη προσέγγιση για τον μετριασμό των επιπτώσεων των κινδύνων που παρουσιάζουν αυτές οι απειλές.
Οι οργανισμοί θα πρέπει να ενθαρρύνουν και να εφαρμόζουν εφεδρικές ασκήσεις που διασφαλίζουν την ευαισθητοποίηση των χρηστών σχετικά με τα δικά τους συστήματα και δίκτυα για την αποτροπή προσπαθειών εισβολής και εκτέλεσης κακόβουλων δραστηριοτήτων.
Διαβάστε επίσης: Χάκερ στοχεύει κινεζικούς, βουλγαρικούς οργανισμούς με νέο ransomware
πηγή πληροφοριών: darkreading.com
