마록스 랜섬웨어 탐지: MS-SQL 서버를 악용한 공격 증가

사이버 수비수들은 Mallox 랜섬웨어를 퍼트리는 최근 사이버 공격 급증을 관찰했습니다. 2년 동안 랜섬웨어 운영자들은 MS-SQL 서버를 초기 접근 벡터로 악용하여 감염을 확산시켰습니다.

Mallox 랜섬웨어 탐지

Mallox 랜섬웨어 갱의 활동이 증가하고 그들의 공격의 영향과 범위를 확장하려는 야망과 함께, 사이버 수비수들은 관련 위협에 앞서기 위해 초응답성을 필요로 합니다. 집단 사이버 방어를 위해 SOC Prime 플랫폼을 활용함으로써, 보안 팀은 랜섬웨어 공격을 더 빠르고 효율적으로 탐지하고, 탐지 및 사냥 절차를 우선순위로 두며, 사이버 보안 태세를 미래에 대비할 수 있는 최첨단 도구를 갖출 수 있습니다. 

Mallox 랜섬웨어 탐지를 위한 Sigma 규칙의 전체 목록에 액세스하려면, 탐지 탐색 버튼을 클릭하세요. 보안 엔지니어는 위협 조사에 필요한 ATT&CK 및 CTI 링크 등 사이버 위협 컨텍스트와 유용한 메타데이터에 대한 통찰을 얻을 수 있습니다.

탐지 탐색

위에서 언급한 모든 Sigma 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며, 클라우드 네이티브 및 온프레미스 SIEM 및 기타 보안 솔루션과 호환됩니다. 또는, 보안 엔지니어는 TargetCompany, FARGO, 또는 Tohnichi 탐지를 위한 관련 Sigma 규칙을 적용할 수 있습니다. 이는 Mallox 랜섬웨어를 식별하는 데 사용되는 다른 이름입니다.

Mallox 랜섬웨어 분석

Unit 42 팀 은 MS-SQL 서버를 대규모로 악용하여 Mallox 랜섬웨어 배포가 2022년과 비교하여 150% 이상 증가한 것을 발견했습니다. 이러한 캠페인에서 Mallox 랜섬웨어 운영자는 강제 공격, 데이터 탈취 및 기타 적대적인 기술을 적용합니다. 적들은 다크넷에서 공격 파트너를 모색하여 RaaS 파트너 프로그램에 참여하도록 유인함으로써 공격 활동을 확장하는 경향이 있습니다. 

Mallox 랜섬웨어 배포자는 목표 조직에서 데이터를 훔치고 획득한 데이터를 유출하겠다고 위협하여 손상된 사용자를 몸값을 지불하도록 강요합니다. 그들은 여러 산업 분야에서 전 세계 수십 개의 조직에 영향을 미쳐 왔습니다. 

Mallox 랜섬웨어 운영자들이 2021년에 사이버 위협 무대에 등장한 이후로, 그들은 꾸준히 MS-SQL 서버를 악용하여 네트워크로 침투하는 동일한 적수 방법을 활용해왔습니다. 초기 공격 단계에서 적들은 강제 공격을 수행하고 나서 명령줄 작업과 PowerShell 코드를 사용하여 Mallox 랜섬웨어 변종을 원격으로 배포합니다. 

공격 표면을 줄이기 위한 실행 가능한 조치로서, 사이버 수비자들은 인터넷에 접속 가능한 앱의 적절한 설정과 모든 필요한 업데이트 및 패치를 고려할 것을 권장합니다.

650개 이상의 독특한 Sigma 규칙에 접근하여 랜섬웨어 공격을 탐지하고 사이버 복원력을 강화하세요. 30개 이상의 규칙을 무료로 얻거나 수요에 따라 모든 탐지를 사용해 보세요. https://tdm.socprime.com/journey/tdm/.