Las actividades del ransomware Mallox en 2023 han experimentado un aumento del 174 % en comparación con el año anterior, según revelan nuevos hallazgos de la Unidad 42 de Palo Alto Networks.
«Mallox ransomware, como muchos otros actores de amenazas de ransomware, sigue la tendencia de doble extorsión: robar datos antes de cifrar los archivos de una organización y luego amenazar con publicar los datos robados en un sitio de fuga como palanca para convencer a las víctimas de que paguen la tarifa de rescate», dijo Security. dijeron los investigadores Lior Rochberger y Shimi Cohen en un nuevo informe compartido con The Hacker News.
Mallox está vinculado a un actor de amenazas que también está vinculado a otras cepas de ransomware , como TargetCompany, Tohnichi, Fargo y, más recientemente, Xollam. Apareció por primera vez en escena en junio de 2021.
Algunos de los sectores destacados a los que apunta Mallox son la fabricación, los servicios profesionales y legales, y el comercio mayorista y minorista.
Un aspecto notable del grupo es su patrón de explotar servidores MS-SQL poco protegidos a través de ataques de diccionario como vector de penetración para comprometer las redes de las víctimas. Xollam es una desviación de la norma en el sentido de que se ha observado el uso de archivos adjuntos maliciosos de OneNote para el acceso inicial, como lo detalló Trend Micro el mes pasado.
Al establecerse con éxito en el host infectado, se ejecuta un comando de PowerShell para recuperar la carga útil del ransomware desde un servidor remoto.
El binario, por su parte, intenta detener y eliminar servicios relacionados con SQL, eliminar instantáneas de volumen, borrar registros de eventos del sistema, finalizar procesos relacionados con la seguridad y eludir Raccine, una herramienta de código abierto diseñada para contrarrestar ataques de ransomware, antes de comenzando su proceso de cifrado, después de lo cual se coloca una nota de rescate en cada directorio.
TargetCompany sigue siendo un grupo pequeño y cerrado, pero también se ha observado que recluta afiliados para el programa de afiliados Mallox ransomware-as-a-service (RaaS) en el foro de ciberdelincuencia RAMP.
El desarrollo se produce cuando el ransomware sigue siendo un esquema financiero lucrativo, que genera a los ciberdelincuentes no menos de $ 449,1 millones solo en la primera mitad de 2023, según Chainalysis.
El repentino aumento de las infecciones de Mallox también es un síntoma de una tendencia más amplia en la que los ataques de ransomware han experimentado un aumento interanual del 221 % hasta junio de 2023, con 434 ataques informados solo en junio de 2023, impulsados en gran medida por la explotación de Cl0p de la vulnerabilidad del software de transferencia de archivos MOVEit .
«El grupo de ransomware Mallox ha estado más activo en los últimos meses, y sus recientes esfuerzos de reclutamiento pueden permitirles atacar a más organizaciones si la campaña de reclutamiento tiene éxito», dijeron los investigadores.
Fuente y redacción: thehackernews.com