Ένα πρόσφατο περιστατικό που αφορούσε ένα honeypot MS-SQL (Microsoft SQL) έριξε φως στις περίπλοκες τακτικές που χρησιμοποιούν οι κυβερνοεγκληματίες του ransomware Mallox (γνωστό και ως Fargo, TargetCompany, Mawahelper, κ.λπ.).
Δείτε επίσης: Microsoft: Χάκερ στοχεύουν τα VM cloud Azure μέσω διακομιστών SQL
Το honeypot, που δημιουργήθηκε από την ερευνητική ομάδα Sekoia, στοχεύτηκε από ένα σύνολο εισβολής που χρησιμοποιεί τεχνικές brute-force για την ανάπτυξη του ransomware Mallox μέσω του PureCrypter, εκμεταλλευόμενος διάφορες ευπάθειες MS-SQL.
Μετά την ανάλυση των δειγμάτων του ransomware Mallox, οι ερευνητές εντόπισαν δύο συνεργάτες που χρησιμοποιούσαν διαφορετικές προσεγγίσεις. Η μία επικεντρώθηκε στην εκμετάλλευση ευάλωτων περιουσιακών στοιχείων, ενώ η άλλη στόχευε σε ευρύτερες παραβιάσεις συστημάτων πληροφοριών σε μεγαλύτερη κλίμακα.
Η αρχική πρόσβαση στον διακομιστή MS-SQL πραγματοποιήθηκε μέσω μιας επίθεσης brute-force που στόχευε τον λογαριασμό “sa” (SQL Administrator), ο οποίος παραβιάστηκε μέσα σε μια ώρα από την ανάπτυξη. Ο επιτιθέμενος επέμενε στο brute-forcing καθ’ όλη τη διάρκεια της περιόδου παρατήρησης, υποδεικνύοντας μια αποφασιστική προσπάθεια.
Παρατηρήθηκαν απόπειρες εκμετάλλευσης και εντοπίστηκαν διακριτά πρότυπα. Ο εισβολέας χρησιμοποίησε διάφορες τεχνικές, συμπεριλαμβανομένης της ενεργοποίησης συγκεκριμένων παραμέτρων, της δημιουργίας συγκροτημάτων και της εκτέλεσης εντολών μέσω xp_cmdshell και Ole Automation Procedures.
Δείτε ακόμα: Mallox Ransomware: Αναβαθμίσεις σε παραλλαγές malware και τακτικές αποφυγής
Τα ωφέλιμα φορτία αντιστοιχούσαν στο PureCrypter, έναν φορτωτή που αναπτύχθηκε στο .NET, ο οποίος στη συνέχεια εκτέλεσε το ransomware Mallox. Το PureCrypter, που πωλείται ως Malware-as-a-Service από έναν παράγοντα απειλών που λειτουργεί με το ψευδώνυμο PureCoder, χρησιμοποιεί διάφορες τεχνικές αποφυγής, για να αποφύγει τον εντοπισμό και την ανάλυση.
Η ομάδα Mallox, μια επιχείρηση Ransomware-as-a-Service που διανέμει το ομώνυμο ransomware, είναι ενεργή τουλάχιστον από τον Ιούνιο του 2021. Η ομάδα χρησιμοποιεί μια στρατηγική διπλού εκβιασμού, απειλώντας να δημοσιεύσει τα κλεμμένα δεδομένα εκτός από την κρυπτογράφησή τους.
Η έρευνα υπογραμμίζει επίσης τον ρόλο των θυγατρικών στη λειτουργία Mallox, εστιάζοντας ιδιαίτερα σε χρήστες όπως οι Maestro, Vampire και Hiervos, οι οποίοι παρουσιάζουν διαφορετικές τακτικές και απαιτήσεις για λύτρα.
Επιπλέον, η έρευνα εγείρει υποψίες σχετικά με την εταιρεία φιλοξενίας Xhost Internet, που συνδέεται με το AS208091, η οποία έχει συσχετιστεί με δραστηριότητα ransomware στο παρελθόν.
Δείτε επίσης: Το Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης
Ποιες είναι οι καλύτερες πρακτικές για την πρόληψη επιθέσεων ransomware;
Η εκπαίδευση των υπαλλήλων είναι κρίσιμη για την πρόληψη επιθέσεων ransomware, όπως το Mallox. Οι υπάλληλοι πρέπει να είναι ενημερωμένοι για τις τελευταίες απειλές και να γνωρίζουν πώς να αναγνωρίζουν ύποπτα emails και συνδέσμους. Η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων είναι επίσης απαραίτητη. Η χρήση λογισμικού ασφαλείας και antivirus μπορεί να βοηθήσει στην ανίχνευση και αποτροπή κακόβουλου λογισμικού. Είναι σημαντικό να διατηρούνται ενημερωμένα όλα τα λογισμικά ασφαλείας. Ακόμα, η χρήση πολυπαραγοντικής ταυτοποίησης προσφέρει ένα επιπλέον επίπεδο προστασίας. Η τακτική ενημέρωση και αναβάθμιση όλων των λογισμικών και συστημάτων είναι απαραίτητη για την αποφυγή εκμετάλλευσης γνωστών ευπαθειών από τους επιτιθέμενους. Η περιορισμένη πρόσβαση στα δεδομένα και τα συστήματα της εταιρείας μπορεί να μειώσει την πιθανότητα μόλυνσης.
Πηγή: infosecurity
