Detección de Ransomware Mallox: Aumento de Ataques que Abusan de Servidores MS-SQL
Tabla de contenidos:
Los defensores cibernéticos han observado un reciente aumento en los ciberataques que propagan el ransomware Mallox. Durante un perÃodo de dos años, los operadores de ransomware han estado abusando de los servidores MS-SQL como vector de acceso inicial para propagar la infección aún más.
Detectar Ransomware Mallox
Con la creciente actividad de la banda de ransomware Mallox y sus ambiciones de ampliar el impacto y el alcance de sus ataques, los defensores cibernéticos requieren una ultra-responsividad para mantenerse por delante de las amenazas relacionadas. Aprovechando la Plataforma SOC Prime para la defensa cibernética colectiva, los equipos de seguridad pueden equiparse con herramientas de última generación para detectar ataques de ransomware de manera más rápida y eficiente, priorizar sus procedimientos de detección y caza, y asegurar el futuro de la postura de ciberseguridad.
Para acceder a la lista completa de reglas Sigma para la detección de ransomware Mallox, haga clic en el Explorar Detecciones botón. Los ingenieros de seguridad pueden obtener información sobre el contexto de la amenaza cibernética, como enlaces ATT&CK y CTI, y más metadatos útiles requeridos para la investigación de amenazas.
Todas las reglas Sigma mencionadas anteriormente están mapeadas al marco MITRE ATT&CK y son compatibles con soluciones de seguridad en la nube y locales como SIEM. Alternativamente, los ingenieros de seguridad pueden aplicar las reglas Sigma relevantes para TargetCompany, FARGO, o Tohnichi detección, que son otros apodos utilizados para identificar el ransomware Mallox.
Análisis del Ransomware Mallox
El equipo de Unit 42 ha descubierto un aumento en la distribución del ransomware Mallox con la explotación masiva de servidores MS-SQL, que ha crecido en más del 150% en comparación con 2022. En estas campañas, los operadores del ransomware Mallox aplican técnicas de fuerza bruta, exfiltración de datos y otras técnicas adversarias. Los adversarios tienden a expandir su actividad ofensiva buscando afiliados en la dark net atrayéndolos a unirse a un programa de afiliados RaaS.
Los distribuidores de ransomware Mallox roban datos de las organizaciones objetivo y luego obligan a los usuarios comprometidos a pagar un rescate amenazándolos con filtrar los datos adquiridos. Han estado afectando a docenas de organizaciones de todo el mundo en múltiples sectores industriales.
Desde que los operadores de ransomware Mallox surgieron en el ámbito de amenazas cibernéticas en 2021, han estado utilizando constantemente el mismo método adversario para infiltrarse en la red explotando servidores MS-SQL. En la etapa inicial del ataque, los adversarios realizan fuerza bruta y luego usan operaciones de lÃnea de comandos y código PowerShell para desplegar cepas de ransomware Mallox de forma remota.
Como medidas viables destinadas a reducir la superficie de ataque, los defensores cibernéticos recomiendan considerar la configuración adecuada de las aplicaciones orientadas a internet junto con todas las actualizaciones y parches necesarios.
Obtenga acceso a más de 650 reglas Sigma únicas para detectar ataques de ransomware para aumentar su resiliencia cibernética. Obtenga 30+ reglas gratis o alcance todas las detecciones con On Demand en https://tdm.socprime.com/journey/tdm/.
