O grupo de ransomware Mallox está intensificando seu jogo em ataques direcionados contra organizações com servidores SQL vulneráveis. Ele surgiu recentemente com uma nova variante e várias ferramentas adicionais de malware para obter persistência e evitar a detecção enquanto continua ganhando força.
Malloz (também conhecido como TargetCompany, Fargo e Tohnichi) surgiu em junho de 2021. Em seus ataques mais recentes, ele combinou seu ransomware personalizado com dois produtos de malware comprovados – o Remcos RAT e o ofuscador BatCloak, revelaram pesquisadores da TrendMicro em uma postagem de blog hoje.
Dito isso, a tática que o grupo usou para obter acesso às redes das organizações visadas permanece consistente na última campanha – “a exploração de servidores SQL vulneráveis para implantar persistentemente seu primeiro estágio”, Don Ovid Ladores e Nathaniel Morales, da TrendMicro, revelaram no post .
De fato, o Mallox – que já afirma ter infectado centenas de organizações em todo o mundo em setores como manufatura, varejo, atacado, jurídico e serviços profissionais – geralmente explora duas vulnerabilidades de execução remota de código (RCE) no SQL, CVE- 2020-0618 e CVE -2019-1068 , em seus ataques.
No entanto, o grupo também começou a mudar as coisas nos estágios posteriores do ataque para manter uma presença furtiva nas redes visadas e ocultar sua atividade maliciosa, descobriram os pesquisadores.
“A rotina tenta várias direções para tentar a persistência, como alterar os URLs ou caminhos aplicáveis até encontrar com sucesso uma área para executar o Remcos RAT ”, escreveram eles.
Detecção de malware indetectável
A equipe identificou a campanha após a investigação de conexões de rede suspeitas relacionadas ao PowerShell, o que levou à descoberta de uma nova variante do Mallox, que a TrendMicro chama de TargetCompany.
“Quando verificamos o binário de carga útil, vimos que a variante pertence à segunda versão da referida família de ransomware, comumente caracterizada por uma conexão a um servidor de comando e controle (C2) com uma página de destino ‘/ap.php’ ”, revelaram os pesquisadores no post.
No entanto, como a tentativa inicial de acesso foi encerrada e bloqueada pelas soluções de segurança existentes, “os invasores optaram por usar a versão [totalmente indetectável] de seus binários encapsulados em FUD” para continuar o ataque”, escreveram os pesquisadores.
FUD é uma técnica de ofuscação que os invasores usam para embaralhar automaticamente o ransomware para evitar a tecnologia de detecção baseada em assinatura, aumentando assim suas chances de sucesso. Mallox parece estar usando um estilo FUD empregado pelo BatCloak – usando um arquivo em lote como uma camada externa e, em seguida, decodificando e carregando usando o PowerShell para fazer uma execução LOLBins , de acordo com a TrendMicro.
O grupo também usou a ferramenta de hacking Metasploit , que foi implantada em um estágio posterior do ataque antes que o Remcos RAT concluísse sua rotina final, para carregar o ransomware Mallox envolvido no empacotador FUD, disseram os pesquisadores.
Embora o uso de empacotadores FUD e Metasploit não sejam táticas novas, isso mostra como o Mallox, como outros invasores, “continuará inovando até mesmo os meios mais simples de abuso” para escapar das defesas colocadas pelas organizações para evitar comprometimento, observaram os pesquisadores.
“Equipes e organizações de segurança não devem subestimar sua eficácia em contornar soluções de segurança atuais e estabelecidas, especialmente em recursos-chave que deixam as tecnologias quase cegas até que uma vítima seja documentada”, escreveram no post.
Como se defender do Mallox Ransomware
A TrendMicro espera que a maioria das vítimas do Mallox ainda tenham SQL Servers vulneráveis que estão sendo explorados para entrar. Para combater isso, as equipes de segurança devem ter visibilidade de suas lacunas de correção e verificar todas as superfícies de ataque possíveis para garantir que seus respectivos sistemas não sejam suscetíveis a abuso e exploração.
Enquanto isso, como o empacotador FUD que Mallox está usando parece estar um passo à frente das soluções de segurança atuais que a maioria das organizações usa, talvez seja hora de intensificar o jogo e adicionar soluções de monitoramento de comportamento e verificação de arquivos baseadas em IA e aprendizado de máquina. à mistura, observaram os pesquisadores.
Além disso, as práticas recomendadas para bloqueio de rede, bem como medidas específicas de detecção e bloqueio de ransomware, também podem fornecer uma abordagem multicamada para mitigar o impacto dos riscos que essas ameaças apresentam.
“As organizações devem encorajar e implementar exercícios redundantes, garantindo a conscientização dos usuários sobre seus próprios sistemas e redes para evitar tentativas de invasão e execução de atividades maliciosas”, escreveram os pesquisadores.
FONTE: DARKREADING