Détection du Ransomware Mallox : Augmentation des Attaques Exploitant les Serveurs MS-SQL
Table des matières :
Les défenseurs cybernétiques ont observé une récente augmentation des cyberattaques diffusant le ransomware Mallox. Depuis deux ans, les opérateurs de ransomware exploitent les serveurs MS-SQL comme vecteur d’accès initial pour propager l’infection plus loin.
Détecter le ransomware Mallox
Avec l’activité croissante du groupe de ransomware Mallox et leurs ambitions d’élargir l’impact et la portée de leurs attaques, les experts en cyberdéfense ont besoin d’une ultra-réactivité pour devancer les menaces associées. En exploitant la plateforme SOC Prime pour la défense cybernétique collective, les équipes de sécurité peuvent s’équiper d’outils de pointe pour détecter les attaques de ransomware plus rapidement et plus efficacement, prioriser leurs procédures de détection et de chasse, et garantir la pérennité de la posture de cybersécurité.
Pour accéder à la liste complète des règles Sigma pour la détection du ransomware Mallox, cliquez sur le Explorer les détections bouton. Les ingénieurs en sécurité peuvent obtenir des informations sur le contexte de la menace cybernétique, comme les liens ATT&CK et CTI, et d’autres métadonnées utiles nécessaires pour l’investigation des menaces.
Toutes les règles Sigma mentionnées ci-dessus sont mappées au cadre MITRE ATT&CK et sont compatibles avec les solutions de sécurité cloud-native et sur site. Alternativement, les ingénieurs en sécurité peuvent appliquer des règles Sigma pertinentes pour TargetCompany, FARGO, ou Tohnichi détection, qui sont d’autres surnoms utilisés pour identifier le ransomware Mallox.
Analyse du ransomware Mallox
L’équipe Unit 42 a découvert une augmentation de la distribution du ransomware Mallox avec l’exploitation massive des serveurs MS-SQL, qui a augmenté de plus de 150 % par rapport à 2022. Dans ces campagnes, les opérateurs de ransomware Mallox appliquent le forcing par force brute, l’exfiltration de données, et d’autres techniques d’adversaires. Les adversaires tendent à étendre leur activité offensive en recherchant des affiliés sur le dark net pour les attirer à rejoindre un programme d’affiliation RaaS.
Les distributeurs de ransomware Mallox volent des données aux organisations ciblées puis forcent les utilisateurs compromis à payer une rançon en les menaçant de divulguer les données acquises. Ils ont affecté des dizaines d’organisations dans le monde entier dans plusieurs secteurs industriels.
Depuis que les opérateurs de ransomware Mallox ont émergé sur la scène des menaces cybernétiques en 2021, ils exploitent régulièrement la même méthode adverse pour infiltrer le réseau en exploitant les serveurs MS-SQL. À la phase initiale de l’attaque, les adversaires effectuent du forcing par force brute puis utilisent des opérations en ligne de commande et du code PowerShell pour déployer à distance des souches de ransomware Mallox.
Comme mesures viables visant à réduire la surface d’attaque, les experts en cyberdéfense recommandent de considérer la configuration appropriée des applications exposées à l’internet avec toutes les mises à jour et correctifs nécessaires.
Accédez à plus de 650 règles Sigma uniques pour détecter les attaques de ransomware pour renforcer votre résilience cybernétique. Obtenez plus de 30 règles gratuitement ou accédez à toutes les détections à la demande sur https://tdm.socprime.com/journey/tdm/.
