2 de abril de 2025

Mallox Ransomware implantado por meio de ataque MS-SQL Honeypot

14 de maio de 2024

Um incidente recente envolvendo um honeypot MS-SQL (Microsoft SQL) lançou luz sobre as táticas sofisticadas empregadas por invasores cibernéticos que dependem do ransomware Mallox (também conhecido como Fargo, TargetCompany, Mawahelper, etc.).

O honeypot, criado pela equipe de pesquisa da Sekoia, foi alvo de um conjunto de invasões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.

Ao analisar amostras de Mallox, os pesquisadores identificaram duas afiliadas distintas usando abordagens diferentes. Um centrava-se na exploração de activos vulneráveis, enquanto o outro visava compromissos mais amplos de sistemas de informação em maior escala.

O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida uma hora após a implantação. O invasor persistiu na força bruta durante todo o período de observação, indicando um esforço determinado.

Foram observadas tentativas de exploração, com padrões distintos identificados. O invasor aproveitou várias técnicas, incluindo a ativação de parâmetros específicos, a criação de assemblies e a execução de comandos por meio de xp_cmdshell e procedimentos de automação Ole.

As cargas correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que posteriormente executou o ransomware Mallox. PureCrypter, vendido como Malware como serviço por um agente de ameaça que opera sob o pseudônimo PureCoder, emprega várias técnicas de evasão para evitar detecção e análise.

O grupo Mallox, uma operação de ransomware como serviço que distribui o ransomware homônimo, está ativo pelo menos desde junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados, além de criptografá-los.

A pesquisa também destaca o papel dos afiliados na operação Mallox, focando principalmente em usuários como Maestro, Vampire e Hiervos, que apresentam diferentes táticas e demandas de resgate.

Além disso, a pesquisa levanta suspeitas em relação à empresa de hospedagem Xhost Internet, ligada ao AS208091, que já foi associada a atividades de ransomware no passado. 

“Embora as ligações formais com atividades relacionadas ao crime cibernético permaneçam sem comprovação, o envolvimento deste AS em instâncias anteriores de comprometimento de ransomware e a longevidade do monitoramento de endereços IP são intrigantes”, diz o artigo técnico . “Os analistas da Sekoia.io continuarão monitorando as atividades associadas a este AS e investigando as operações relacionadas.”

Tags: , , , , ,

Matérias Relacionadas

Vulnerabilidade Crítica no Kernel Linux (CVE-2024-36972) Permite Escalada de Privilégio e Escape de Contêiner

5 de fevereiro de 2025

Grave Vulnerabilidade no Veeam Updater Permite Ataques MitM com Acesso Root

5 de fevereiro de 2025

Pacotes Maliciosos no PyPI Imitam Ferramentas da DeepSeek para Roubo de Dados

4 de fevereiro de 2025

Veja mais..

Pesquisadores descobrem a família de malware Shelby que abusa do GitHub para comando e controle

1 de abril de 2025

Hackers abusam de plugins MU do WordPress para esconder código malicioso

1 de abril de 2025

Google lança duas novas ferramentas de IA para detectar golpes conversacionais em dispositivos Android

6 de março de 2025

APT28 aprimora técnicas de ofuscação com trojans HTA avançados

6 de março de 2025

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

6 de março de 2025