Le ransomware Mallox exploite les faiblesses des serveurs MS-SQL pour pénétrer dans les réseaux

« Le ransomware Mallox, comme beaucoup d’autres acteurs de menaces de ransomware, suit la double tendance de l’extorsion : voler des données avant de chiffrer les fichiers d’une organisation, puis menacer de publier les données volées sur un site de fuite pour convaincre les victimes de payer la rançon », ont déclaré les chercheurs en sécurité Lior Rochberger et Shimi Cohen dans un nouveau rapport partagé avec The Hacker News.

Mallox est lié à un acteur de la menace qui est également lié à d’autres souches de ransomware, telles que TargetCompany, Tohnichi, Fargo et, plus récemment, Xollam. Il est apparu pour la première fois en juin 2021.

Parmi les principaux secteurs ciblés par Mallox figurent l’industrie manufacturière, les services professionnels et juridiques, ainsi que le commerce de gros et de détail.

Un aspect notable du groupe est son habitude d’exploiter des serveurs MS-SQL mal sécurisés via des attaques par dictionnaire comme vecteur de pénétration pour compromettre les réseaux des victimes. Xollam s’écarte de la norme dans la mesure où il a été observé qu’il utilisait des pièces jointes OneNote malveillantes pour l’accès initial, comme l’a indiqué Trend Micro le mois dernier.

Après avoir réussi à s’implanter sur l’hôte infecté, une commande PowerShell est exécutée pour récupérer la charge utile du ransomware sur un serveur distant.
Le binaire, quant à lui, tente d’arrêter et de supprimer les services liés à SQL, de supprimer les copies d’ombre des volumes, d’effacer les journaux d’événements système, de mettre fin aux processus liés à la sécurité et de contourner Raccine, un outil open-source conçu pour contrer les attaques de ransomware, avant de commencer son processus de chiffrement, après quoi une note de rançon est déposée dans tous les répertoires.

TargetCompany reste un petit groupe fermé, mais il a également été observé en train de recruter des affiliés pour le programme d’affiliation Mallox ransomware-as-a-service (RaaS) sur le forum de cybercriminalité RAMP.

Cette évolution intervient alors que les ransomwares continuent d’être un système financier lucratif, rapportant aux cybercriminels pas moins de 449,1 millions de dollars rien que pour le premier semestre 2023, d’après Chainalysis.

L’augmentation soudaine des infections par Mallox est également symptomatique d’une tendance plus large où les attaques de ransomware ont connu un bond de 221 % d’une année sur l’autre à partir de juin 2023, avec 434 attaques signalées pour le seul mois de juin 2023, en grande partie grâce à l’exploitation par Cl0p de la vulnérabilité du logiciel de transfert de fichiers MOVEit.

« Le groupe de ransomware Mallox a été plus actif au cours des derniers mois, et ses récents efforts de recrutement pourraient lui permettre d’attaquer davantage d’organisations si la campagne de recrutement est couronnée de succès, » ont déclaré les chercheurs.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités sur la cybersécurité et de conseils.