Il gruppo di ransomware Mallox sta intensificando la sua attività con attacchi che prendono di mira server SQL vulnerabili.
Seppur questa minaccia non sia del tutto nuova (i primi rilevamenti sono avvenuti nel giugno 2021) le ultimi varianti di questa campagna si sono dimostrare molto più aggressive rispetto alle precedenti. Quest'ultime, infatti, si sono dimostrate più persistenti ed elusive rispetto al passato.
Stando agli studi di Trend Micro, le ultime versioni di Mallox hanno combinato il ransomware vero e proprio con altri malware già noti, come Remcos RAT e BatCloak obfuscator. Questo nuovo modus operandi va a sovrapporsi alla classica strategia legata a questo agente malevolo.
Le nuove varianti si stanno diffondendo rapidamente, infettando centinaia di organizzazioni in tutto il mondo in settori quali produzione, vendita al dettaglio, vendita all'ingrosso, servizi legali e professionali. Queste sfruttano in prevalenza due vulnerabilità di esecuzione di codice remoto (RCE) nel contesto SQL, ovvero CVE-2020-0618 e CVE -2019-1068.
Mallox: il ransomware si presenta con una nuova veste, ancora più pericolosa rispetto al passato
I ricercatori, andando più a fondo, hanno scoperto maggiori dettagli rispetto all'operato di Mallox "La routine prova varie direzioni per tentare la persistenza, come cambiare gli URL o i percorsi applicabili finché non trova con successo un'area per eseguire il Remcos RAT".
Trend Micro ha individuato una variante, denominata poi TargetCompany, che ha così descritto "Quando abbiamo controllato il binario del payload, abbiamo visto che la variante appartiene alla seconda versione della suddetta famiglia di ransomware, comunemente caratterizzata da una connessione a un server di comando e controllo (C2) con una landing page '/ap.php'".
In questo contesto, tra l'altro, è stato utilizzata una versione non rilevabile di file binari con FUD. Questa è una tecnica di offuscamento che codifica automaticamente in ransomware, evitando le tecnologie di rilevamento basate sulle firme digitali. Nel complesso, dunque, Mallox ha incrementato la sua efficacia in maniera considerevole.
I ricercatori di Trend Micro hanno voluto infine allertare le aziende potenziali vittime "I team e le organizzazioni di sicurezza non dovrebbero sottovalutare la sua efficacia nell'eludere le soluzioni di sicurezza attuali e consolidate, specialmente nelle funzionalità chiave che lasciano le tecnologie quasi "cieche" fino a quando una vittima non viene documentata".