Mallox Ransomware Group reformula variantes de malware e táticas de evasão

Views: 106
0 0
Read Time:3 Minute, 49 Second

O grupo de ransomware Mallox está intensificando seu jogo em ataques direcionados contra organizações com servidores SQL vulneráveis. Ele surgiu recentemente com uma nova variante e várias ferramentas adicionais de malware para obter persistência e evitar a detecção enquanto continua ganhando força.

Malloz (também conhecido como TargetCompany, Fargo e Tohnichi) surgiu em junho de 2021. Em seus ataques mais recentes, ele combinou seu ransomware personalizado com dois produtos de malware comprovados – o Remcos RAT e o ofuscador BatCloak, revelaram pesquisadores da TrendMicro em uma postagem de blog hoje.

Dito isso, a tática que o grupo usou para obter acesso às redes das organizações visadas permanece consistente na última campanha – “a exploração de servidores SQL vulneráveis ​​para implantar persistentemente seu primeiro estágio”, Don Ovid Ladores e Nathaniel Morales, da TrendMicro, revelaram no post .

De fato, o Mallox – que já afirma ter infectado centenas de organizações em todo o mundo em setores como manufatura, varejo, atacado, jurídico e serviços profissionais – geralmente explora duas vulnerabilidades de execução remota de código (RCE) no SQL, CVE- 2020-0618 e CVE -2019-1068 , em seus ataques.

No entanto, o grupo também começou a mudar as coisas nos estágios posteriores do ataque para manter uma presença furtiva nas redes visadas e ocultar sua atividade maliciosa, descobriram os pesquisadores.

“A rotina tenta várias direções para tentar a persistência, como alterar os URLs ou caminhos aplicáveis ​​até encontrar com sucesso uma área para executar o Remcos RAT ”, escreveram eles.

Detecção de malware indetectável

A equipe identificou a campanha após a investigação de conexões de rede suspeitas relacionadas ao PowerShell, o que levou à descoberta de uma nova variante do Mallox, que a TrendMicro chama de TargetCompany.

“Quando verificamos o binário de carga útil, vimos que a variante pertence à segunda versão da referida família de ransomware, comumente caracterizada por uma conexão a um servidor de comando e controle (C2) com uma página de destino ‘/ap.php’ ”, revelaram os pesquisadores no post.

No entanto, como a tentativa inicial de acesso foi encerrada e bloqueada pelas soluções de segurança existentes, “os invasores optaram por usar a versão [totalmente indetectável] de seus binários encapsulados em FUD” para continuar o ataque”, escreveram os pesquisadores.

FUD é uma técnica de ofuscação que os invasores usam para embaralhar automaticamente o ransomware para evitar a tecnologia de detecção baseada em assinatura, aumentando assim suas chances de sucesso. Mallox parece estar usando um estilo FUD empregado pelo BatCloak – usando um arquivo em lote como uma camada externa e, em seguida, decodificando e carregando usando o PowerShell para fazer uma execução LOLBins , de acordo com a TrendMicro.

O grupo também usou a ferramenta de hacking Metasploit , que foi implantada em um estágio posterior do ataque antes que o Remcos RAT concluísse sua rotina final, para carregar o ransomware Mallox envolvido no empacotador FUD, disseram os pesquisadores.

Embora o uso de empacotadores FUD e Metasploit não sejam táticas novas, isso mostra como o Mallox, como outros invasores, “continuará inovando até mesmo os meios mais simples de abuso” para escapar das defesas colocadas pelas organizações para evitar comprometimento, observaram os pesquisadores.

“Equipes e organizações de segurança não devem subestimar sua eficácia em contornar soluções de segurança atuais e estabelecidas, especialmente em recursos-chave que deixam as tecnologias quase cegas até que uma vítima seja documentada”, escreveram no post.

Como se defender do Mallox Ransomware

A TrendMicro espera que a maioria das vítimas do Mallox ainda tenham SQL Servers vulneráveis ​​que estão sendo explorados para entrar. Para combater isso, as equipes de segurança devem ter visibilidade de suas lacunas de correção e verificar todas as superfícies de ataque possíveis para garantir que seus respectivos sistemas não sejam suscetíveis a abuso e exploração.

Enquanto isso, como o empacotador FUD que Mallox está usando parece estar um passo à frente das soluções de segurança atuais que a maioria das organizações usa, talvez seja hora de intensificar o jogo e adicionar soluções de monitoramento de comportamento e verificação de arquivos baseadas em IA e aprendizado de máquina. à mistura, observaram os pesquisadores.

Além disso, as práticas recomendadas para bloqueio de rede, bem como medidas específicas de detecção e bloqueio de ransomware, também podem fornecer uma abordagem multicamada para mitigar o impacto dos riscos que essas ameaças apresentam.

“As organizações devem encorajar e implementar exercícios redundantes, garantindo a conscientização dos usuários sobre seus próprios sistemas e redes para evitar tentativas de invasão e execução de atividades maliciosas”, escreveram os pesquisadores.

FONTE: DARKREADING

POSTS RELACIONADOS