Les activités du rançongiciel Mallox en 2023 ont connu une augmentation de 174 % par rapport à l’année précédente, révèlent de nouvelles découvertes de l’unité 42 de Palo Alto Networks.
« Le ransomware Mallox, comme de nombreux autres acteurs de la menace de ransomware, suit la double tendance à l’extorsion : voler des données avant de chiffrer les fichiers d’une organisation, puis menacer de publier les données volées sur un site de fuite comme levier pour convaincre les victimes de payer les frais de rançon », chercheurs en sécurité Lior Rochberger et Shimi Cohen a dit dans un nouveau rapport partagé avec The Hacker News.
Mallox est lié à un acteur menaçant qui est également lié à autres souches de rançongiciels, comme TargetCompany, Tohnichi, Fargo et, plus récemment, Xollam. Il a fait son apparition pour la première fois en juin 2021.
Certains des principaux secteurs ciblés par Mallox sont la fabrication, les services professionnels et juridiques, ainsi que le commerce de gros et de détail.
Un aspect notable du groupe est sa tendance à exploiter des serveurs MS-SQL mal sécurisés via attaques par dictionnaire comme vecteur de pénétration pour compromettre les réseaux des victimes. Xollam est un écart par rapport à la norme en ce sens qu’il a été observé en utilisant des pièces jointes malveillantes OneNote pour l’accès initial, comme détaillé par Trend Micro le mois dernier.
Après avoir pris pied avec succès sur l’hôte infecté, une commande PowerShell est exécutée pour récupérer la charge utile du ransomware à partir d’un serveur distant.
Le binaire, pour sa part, tente d’arrêter et de supprimer les services liés à SQL, de supprimer les clichés instantanés de volume, d’effacer les journaux d’événements système, de mettre fin aux processus liés à la sécurité et de contourner Racineun outil open source conçu pour contrer les attaques de rançongiciels, avant de commencer son processus de chiffrement, après quoi une note de rançon est déposée dans chaque répertoire.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
TargetCompany reste un petit groupe fermé, mais il a également été observé en train de recruter des affiliés pour le programme d’affiliation Mallox ransomware-as-a-service (RaaS) sur le forum RAMP sur la cybercriminalité.
Le développement intervient alors que les ransomwares continuent d’être un stratagème financier lucratif, rapportant aux cybercriminels pas moins de 449,1 millions de dollars au cours du seul premier semestre 2023, selon Chainalysis.
« Le groupe de rançongiciels Mallox a été plus actif au cours des derniers mois, et leurs récents efforts de recrutement pourraient leur permettre d’attaquer davantage d’organisations si la campagne de recrutement réussit », ont déclaré les chercheurs.