Rilevamento del Ransomware Mallox: Aumento degli Attacchi che Abusano dei Server MS-SQL
Indice:
I difensori informatici hanno osservato un recente aumento degli attacchi informatici che diffondono il ransomware Mallox. Per un periodo di due anni, gli operatori di ransomware hanno abusato dei server MS-SQL come vettore di accesso iniziale per diffondere ulteriormente l’infezione.
Rileva Ransomware Mallox
Con l’aumento dell’attività della gang di ransomware Mallox e le loro ambizioni di espandere l’impatto e la portata dei loro attacchi, i difensori informatici richiedono un’ultra-reattività per rimanere avanti alle minacce correlate. Sfruttando la piattaforma SOC Prime per la difesa informatica collettiva, i team di sicurezza possono dotarsi di strumenti all’avanguardia per rilevare gli attacchi ransomware più rapidamente e in modo più efficiente, prioritizzare le loro procedure di rilevazione e caccia, e preparare la postura di cybersicurezza per il futuro.
Per accedere all’intero elenco di regole Sigma per il rilevamento del ransomware Mallox, fai clic sul Esplora Rilevamenti pulsante. Gli ingegneri della sicurezza possono ottenere approfondimenti sul contesto della minaccia informatica, come i collegamenti ATT&CK e CTI, e altri metadati utili necessari per l’indagine sulle minacce.
Tutte le suddette regole Sigma sono mappate al framework ATT&CK di MITRE e sono compatibili con soluzioni SIEM cloud-native e on-premise e altre soluzioni di sicurezza. In alternativa, gli ingegneri della sicurezza possono applicare le regole Sigma pertinenti per TargetCompany, FARGO, o Tohnichi rilevamento, che sono altri soprannomi usati per identificare il ransomware Mallox.
Analisi del Ransomware Mallox
Il team di Unit 42 ha scoperto un aumento nella distribuzione del ransomware Mallox con lo sfruttamento massiccio dei server MS-SQL, che è cresciuto di oltre il 150% rispetto al 2022. In queste campagne, gli operatori del ransomware Mallox applicano la forza bruta, l’esfiltrazione dei dati e altre tecniche avversarie. Gli avversari tendono a espandere la loro attività offensiva cercando affiliati sul dark net, attirandoli a unirsi a un programma di affiliazione RaaS.
I distributori di ransomware Mallox rubano dati dalle organizzazioni bersaglio e poi costringono gli utenti compromessi a pagare un riscatto minacciandoli di divulgare i dati acquisiti. Hanno colpito dozzine di organizzazioni in tutto il mondo in diversi settori industriali.
Poiché gli operatori del ransomware Mallox sono emersi nell’arena delle minacce informatiche nel 2021, hanno costantemente sfruttato lo stesso metodo avversario per infiltrarsi nella rete sfruttando i server MS-SQL. Nella fase iniziale dell’attacco, gli avversari eseguono la forza bruta e poi utilizzano operazioni da riga di comando e codice PowerShell per rilasciare remote strain di ransomware Mallox.
Come misure praticabili finalizzate a ridurre la superficie di attacco, i difensori informatici raccomandano di considerare la corretta configurazione delle applicazioni rivolte verso internet insieme a tutti gli aggiornamenti e le patch richiesti.
Ottieni accesso a oltre 650 regole Sigma uniche per rilevare gli attacchi ransomware per incrementare la tua resilienza informatica. Ottieni oltre 30 regole gratuitamente o raggiungi tutti i rilevamenti On Demand su https://tdm.socprime.com/journey/tdm/.
