Mallox Ransomware Erkennung: Zunehmende Angriffe auf MS-SQL-Server
Inhaltsverzeichnis:
Cyber-Verteidiger haben einen aktuellen Anstieg von Cyberangriffen zur Verbreitung der Mallox-Ransomware beobachtet. Seit zwei Jahren missbrauchen Ransomware-Operatoren MS-SQL-Server als ersten Zugangspunkt, um die Infektion weiter zu verbreiten.
Mallox-Ransomware erkennen
Mit der steigenden Aktivität der Mallox-Ransomware-Gruppe und ihrem Bestreben, den Einfluss und Umfang ihrer Angriffe zu erweitern, benötigen Cyber-Verteidiger höchste Reaktionsfähigkeit, um den damit verbundenen Bedrohungen einen Schritt voraus zu bleiben. Durch die Nutzung der SOC Prime-Plattform für kollektive Cyberverteidigung kann sich das Sicherheitsteam mit modernsten Werkzeugen ausstatten, um Ransomware-Angriffe schneller und effizienter zu erkennen, ihre Erkennungs- und Jagdverfahren zu priorisieren und die Cybersicherheitsstrategie zukunftssicher zu machen.
Um die vollständige Liste der Sigma-Regeln zur Mallox-Ransomware-Erkennung zu erhalten, klicken Sie auf die Erkundung von Erkennungen Schaltfläche. Sicherheitstechniker können Einblicke in den Kontext der Cyberbedrohung gewinnen, wie ATT&CK- und CTI-Links und weitere nützliche Metadaten, die für die Bedrohungsermittlung erforderlich sind.
Alle oben genannten Sigma-Regeln sind dem MITRE ATT&CK-Framework zugeordnet und mit cloud-nativen und lokalen SIEM- und anderen Sicherheitslösungen kompatibel. Alternativ können Sicherheitstechniker relevante Sigma-Regeln für TargetCompany, FARGO, oder Tohnichi Erkennung anwenden, die andere Bezeichnungen zur Identifizierung der Mallox-Ransomware sind.
Analyse der Mallox-Ransomware
Team Unit 42 hat einen Anstieg in der Verteilung der Mallox-Ransomware aufgedeckt, mit massiver Ausnutzung von MS-SQL-Servern, die im Vergleich zu 2022 um über 150% gestiegen ist. In diesen Kampagnen wenden die Betreiber der Mallox-Ransomware Brute-Force-Techniken, Datenexfiltration und andere Gegnermethoden an. Gegner neigen dazu, ihre offensive Aktivität auszuweiten, indem sie auf dem Darknet nach Affiliates suchen, um sie dazu zu bringen, einem RaaS-Affiliate-Programm beizutreten.
Mallox-Ransomware-Verteiler stehlen Daten von den Zielorganisationen und zwingen kompromittierte Benutzer dann zur Zahlung eines Lösegelds, indem sie drohen, die erlangten Daten zu leaken. Sie haben Dutzende von Organisationen weltweit in verschiedenen Industriesektoren betroffen.
Seit die Mallox-Ransomware-Operatoren 2021 in der Cyberbedrohungsszene aufgetaucht sind, nutzen sie kontinuierlich die gleiche Gegner-Methode, um in das Netzwerk einzudringen, indem sie MS-SQL-Server ausnutzen. Im anfänglichen Angriffsstadium führen Gegner Brute-Force-Angriffe durch und verwenden dann Befehlszeilenoperationen und PowerShell-Code, um Mallox-Ransomware-Stämme remote einzuschleusen.
Als wirksame Maßnahmen zur Reduzierung der Angriffsfläche empfehlen Cyber-Verteidiger, die richtige Einrichtung von internetöffentlichen Apps sowie alle erforderlichen Updates und Patches zu berücksichtigen.
Erhalten Sie Zugang zu über 650 einzigartigen Sigma-Regeln zur Erkennung von Ransomware-Angriffen um Ihre Cyber-Resilienz zu erhöhen. Erhalten Sie 30+ Regeln kostenlos oder erreichen Sie alle Erkennungen mit On-Demand unter https://tdm.socprime.com/journey/tdm/.
