Las actividades del ransomware Mallox en 2023 han experimentado un aumento del 174 % en comparación con el año anterior, según revelan nuevos hallazgos de la Unidad 42 de Palo Alto Networks.
«Mallox ransomware, como muchos otros actores de amenazas de ransomware, sigue la tendencia de doble extorsión: robar datos antes de cifrar los archivos de una organización y luego amenazar con publicar los datos robados en un sitio de fuga como palanca para convencer a las víctimas de que paguen la tarifa del rescate», los investigadores de seguridad Lior Rochberger y Shimi Cohen. dicho en un nuevo informe compartido con The Hacker News.
Mallox está vinculado a un actor de amenazas que también está vinculado a otras cepas de ransomware, como TargetCompany, Tohnichi, Fargo y, más recientemente, Xollam. Apareció por primera vez en escena en junio de 2021.
Algunos de los sectores destacados a los que apunta Mallox son la fabricación, los servicios profesionales y legales, y el comercio mayorista y minorista.
Un aspecto notable del grupo es su patrón de explotar servidores MS-SQL mal protegidos a través de ataques de diccionario como vector de penetración para comprometer las redes de las víctimas. Xollam es una desviación de la norma en el sentido de que se ha observado el uso de archivos adjuntos maliciosos de OneNote para el acceso inicial, como detallado por Trend Micro el mes pasado.
Al establecerse con éxito en el host infectado, se ejecuta un comando de PowerShell para recuperar la carga útil del ransomware desde un servidor remoto.
El binario, por su parte, intenta detener y eliminar servicios relacionados con SQL, eliminar instantáneas de volumen, borrar registros de eventos del sistema, finalizar procesos relacionados con la seguridad y omitir vacunauna herramienta de código abierto diseñada para contrarrestar los ataques de ransomware, antes de comenzar su proceso de cifrado, después de lo cual se coloca una nota de rescate en cada directorio.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
TargetCompany sigue siendo un grupo pequeño y cerrado, pero también se ha observado que recluta afiliados para el programa de afiliados Mallox ransomware-as-a-service (RaaS) en el foro de ciberdelincuencia RAMP.
El desarrollo se produce cuando el ransomware continúa siendo un esquema financiero lucrativo, que genera a los ciberdelincuentes no menos de $ 449,1 millones solo en la primera mitad de 2023, según Chainalysis.
«El grupo de ransomware Mallox ha estado más activo en los últimos meses, y sus recientes esfuerzos de reclutamiento pueden permitirles atacar a más organizaciones si la campaña de reclutamiento tiene éxito», dijeron los investigadores.