Um agente de ransomware com tendência a invadir redes de destino por meio de servidores SQL vulneráveis tornou-se repentinamente muito ativo nos últimos meses e parece prestes a se tornar uma ameaça ainda maior do que já é.
O grupo, rastreado como Mallox – também conhecido como TargetCompany, Fargo e Tohnichi – surgiu pela primeira vez em junho de 2021 e afirma ter infectado centenas de organizações em todo o mundo desde então. As vítimas do grupo incluem organizações nos setores de manufatura, varejo, atacado, jurídico e serviços profissionais.
Surto Súbito
A partir do início deste ano, a atividade de ameaças relacionadas ao grupo aumentou, principalmente em maio, de acordo com pesquisadores da equipe de inteligência de ameaças da Unidade 42 da Palo Alto Networks. A telemetria de Palo Alto e de outras fontes de inteligência de ameaças abertas mostram um aumento surpreendente de 174% na atividade relacionada ao Mallox até agora este ano, em comparação com 2022, disse o fornecedor de segurança em um blog esta semana.
Anteriormente, o Mallox era conhecido por ser um grupo de ransomware relativamente pequeno e fechado, diz Lior Rochberger, pesquisador sênior de segurança da Palo Alto Networks, atribui a atividade explosiva aos esforços conjuntos dos líderes do grupo para aumentar as operações do Mallox.
“No início de 2023, parece que o grupo começou a se esforçar mais para expandir sua atuação por meio do recrutamento de afiliados”, diz ela. “Isso pode explicar o aumento que observamos durante este ano e, especialmente, mais recentemente, por volta de maio”.
A abordagem típica do grupo Mallox para obter acesso inicial em redes corporativas é visar servidores SQL vulneráveis e inseguros. Geralmente, eles começam com um ataque de força bruta em que o adversário usa uma lista de senhas comumente usadas ou senhas padrão conhecidas contra os servidores SQL de uma organização.
Segmentação de SQL Servers inseguros
Os pesquisadores observaram que o Mallox explorava pelo menos duas vulnerabilidades de execução remota de código no SQL — CVE-2020-0618 e CVE-2019-1068 , diz Rochberger.
Até agora, a Unidade 42 só observou Mallox se infiltrando em redes por meio de servidores SQL. Mas outros pesquisadores relataram tentativas recentes de distribuir o Mallox por meio de e-mails de phishing, sugerindo que novos grupos afiliados também estão envolvidos agora, diz Rochberger.
“Depois de obter acesso, os invasores usam a linha de comando e o PowerShell para baixar a carga útil do ransomware Mallox de um servidor remoto”, observou o relatório da Unidade 42 esta semana.
Como acontece com muitas outras infecções de ransomware atualmente, a carga útil primeiro tenta desativar todos os serviços que impediriam sua capacidade de criptografar dados no sistema da vítima. Ele também tenta excluir sistematicamente as cópias de sombra, de modo que a restauração de dados se torna mais difícil quando a criptografia é concluída. Além disso, o malware tenta limpar todos os logs de eventos usando um utilitário de comando comum da Microsoft como parte de um esforço para complicar a análise forense.
Mallox é uma campanha de dupla extorsão, o que significa que os agentes da ameaça roubam dados do ambiente da vítima antes de criptografá-los. O grupo – como quase todas as outras operações de ransomware atualmente – mantém um site onde vaza dados pertencentes às vítimas que se recusam a aceitar suas exigências de resgate. As organizações de vítimas podem negociar com os operadores do Mallox por meio de um site Tor usando uma chave privada exclusiva para se autenticar. Os próprios operadores do Mallox afirmam ter violado centenas de organizações em todo o mundo. A Unidade 42 disse que sua própria telemetria indica pelo menos dezenas de vítimas em potencial em todo o mundo.
A explosão repentina de atividade de Mallox, embora digna de nota, provavelmente não mudará nada para os defensores corporativos ou causará novos problemas adicionais para eles. Um novo relatório do NCC Group esta semana mostrou um aumento de 221% nos ataques de ransomware este ano em relação ao mesmo período de 2022. O NCC Group disse que contou um recorde de 434 ataques em junho de 2023, a maioria deles ligados à exploração do grupo de ransomware Cl0p da vulnerabilidade de transferência de arquivos MOVEit. No total, o grupo Cl0p foi responsável por 90 ataques de ransomware que o NCC observou em junho. O Lockbit 3.0 foi outro ator de ameaça muito ativo durante o período, disse o NCC Group.
Como sempre, a melhor defesa contra a ameaça é ter um plano multicamadas para lidar com esses ataques. “A equipe da Unit 42 recomenda garantir que todos os aplicativos voltados para a Internet sejam configurados adequadamente e todos os sistemas sejam corrigidos e atualizados sempre que possível”, aconselhou o fornecedor de segurança. Também é uma boa ideia ter controles de segurança de endpoint para executar a inspeção na memória para detectar tentativas de injeção de processo, esforços de movimento lateral e tentativas de contornar os controles de segurança, disse o fornecedor.
FONTE: DARKREADING