Detecção do Ransomware Mallox: Aumento de Ataques Explorando Servidores MS-SQL

Índice:
Defensores cibernéticos observaram um recente aumento nos ataques cibernéticos espalhando o ransomware Mallox. Por um período de dois anos, operadores de ransomware vêm abusando de servidores MS-SQL como vetor de acesso inicial para espalhar ainda mais a infecção.
Detectar Ransomware Mallox
Com a crescente atividade do grupo de ransomware Mallox e suas ambições de expandir o impacto e o alcance de seus ataques, os defensores cibernéticos exigem ultra-responsividade para se manter à frente das ameaças relacionadas. Aproveitando a SOC Prime Platform para defesa cibernética coletiva, as equipes de segurança podem se equipar com ferramentas de ponta para detectar ataques de ransomware de forma mais rápida e eficiente, priorizar seus procedimentos de detecção e caça, e garantir um futuro sólido para a postura de cibersegurança.
Para acessar a lista completa de regras Sigma para detecção de ransomware Mallox, clique no Explorar Detecções botão. Engenheiros de segurança podem obter insights sobre o contexto da ameaça cibernética, como links ATT&CK e CTI, e outros metadados úteis necessários para investigação de ameaças.
Todas as regras Sigma mencionadas acima estão mapeadas para o framework MITRE ATT&CK e são compatíveis com soluções de segurança nativas em nuvem e locais, como SIEM. Alternativamente, engenheiros de segurança podem aplicar regras Sigma relevantes para TargetCompany, FARGO, ou Tohnichi detecção, que são outros apelidos usados para identificar o ransomware Mallox.
Análise do Ransomware Mallox
Equipe Unit 42 descobriu um aumento na distribuição do ransomware Mallox com a exploração massiva de servidores MS-SQL, que cresceu mais de 150% em comparação com 2022. Nestas campanhas, operadores de ransomware Mallox aplicam força bruta, exfiltração de dados e outras técnicas de adversário. Os adversários tendem a expandir sua atividade ofensiva procurando afiliados na dark net, atraindo-os para aderir ao programa de afiliados RaaS.
Distribuidores de ransomware Mallox roubam dados das organizações-alvo e depois forçam os usuários comprometidos a pagar um resgate ameaçando divulgar os dados adquiridos. Eles têm afetado dezenas de organizações ao redor do mundo em diversos setores da indústria.
Desde que os operadores de ransomware Mallox surgiram no cenário de ameaças cibernéticas em 2021, eles vêm constantemente utilizando o mesmo método adversário para infiltrar a rede explorando servidores MS-SQL. Na etapa inicial do ataque, os adversários realizam força bruta e, em seguida, utilizam operações de linha de comando e código PowerShell para implantar remotamente linhagens de ransomware Mallox.
Como medidas viáveis destinadas a reduzir a superfície de ataque, defensores cibernéticos recomendam considerar a configuração adequada de aplicativos expostos à internet juntamente com todas as atualizações e patches necessários.
Acesse mais de 650 regras Sigma exclusivas para detectar ataques de ransomware para aumentar sua resiliência cibernética. Obtenha mais de 30 regras gratuitamente ou alcance todas as detecções com On Demand em https://tdm.socprime.com/journey/tdm/.