Alcuni ricercatori di sicurezza informatica hanno individuato un picco di attacchi contro i server Microsoft SQL (MSSQL) che non propongono adeguati sistemi di protezione.
Il ransomware coinvolto in questo aumento di casi è prevalentemente Mallox che, secondo Palo Alto Networks, ha fatto registrare un aumento di casi pari al 174% rispetto alla seconda metà del 2022.
Stando a quanto affermato da Palo Alto Network “Il gruppo ransomware Mallox sta mietendo centinaia di vittime. Mentre il numero effettivo di queste sconosciuto, la nostra telemetria indica dozzine di potenziali vittime in tutto il mondo, in diversi settori, tra cui produzione, servizi professionali e legali, vendita all’ingrosso e al dettaglio“.
A quanto pare, i server MSSQL esposti pubblicamente che hanno credenziali deboli rappresentano una preda facile per chi gestisce il suddetto ransomware. Il metodo preferito del gruppo consiste nell’utilizzare attacchi di forza bruta con sistemi che utilizzano un elenco di password note o alquanto comuni.
Come agisce il ransomware Mallox?
Una volta all’interno dei server, gli aggressori eseguono una riga di comando e uno script PowerShell e infine avviano il payload Mallox da un server remoto con l’installazione di file come updt.ps1, system.bat e tzt.exe.
Lo script system.bat, che viene poi rinominato in tzt.bat, crea un nome utente SystemHelp e abilita l’accesso RDP (Remote Desktop Protocol) per esso. Ciò offre agli aggressori un metodo alternativo per connettersi alla macchina.
Il file tzt.exe, dal canto suo, è il payload di Mallox. Questo viene eseguito utilizzando Strumentazione gestione Windows (WMI) e tenta di disabilitare e rimuovere i processi sc.exe e net.exe legittimi. Fatto ciò prova ad eliminare le copie Shadow del volume per impedire il ripristino dei dati e utilizza l’utilità della riga di comando wevtutil di Microsoft per cancellare i registri degli eventi di applicazioni, sicurezza e sistema per impedire l’analisi forense.
Il campione Mallox analizzato da Palo Alto Networks ha crittografato i file utilizzando l’algoritmo ChaCha20 e ha aggiunto l’estensione .malox ai file crittografati. Tuttavia, in passato gli aggressori hanno utilizzato altre estensioni di file, tra cui .FARGO3, .exploit, .avast, .bitenc, .xollam, nonché i nomi delle aziende vittime degli attacchi.