MS-SQL serveri obično čuvaju informacije kao što su finansijski podaci, informacije o klijentima i intelektualna svojina koje se mogu prodati na crnom web tržištu.
Pored toga, hakovani MS-SQL server može predstavljati ulaznu tačku u mrežu organizacije, odakle se može primijeniti ransomware ili izvršiti druge zlonamjerne aktivnosti.
Zbog slabih lozinki, nezakrpljenih ranjivosti i pogrešnih konfiguracija u MS-SQL instalacijama, hakeri koji koriste automatizovane alate za skeniranje i eksploataciju smatraju ih privlačnim.
Nedavno su istraživači sajber bezbjednosti u kompaniji Sekoi otkrili da hakeri aktivno iskorištavaju MS-SQL servere da bi primijenili Mallox ransomware.
Tehnička analiza
MS-SQL honeypot postavljen 15. aprila brzo je ugrožen putem grube sile napadajući slab „sa“ nalog sa IP adresa XHost Internet Solution, oko 320 pokušaja u minuti.
Nakon upada, napadači su iskoristili MS-SQL eksploataciju da bi primjenili Mallox ransomware koristeći PureCrypter.
Istraživanje Mallox uzoraka otkrilo je dvije pridružene grupe – jedna je koristila ranjivosti, a druga je sprovodila šire sistemske kompromise.
Dana 15. aprila u 14:17, počeli su pokušaji eksploatacije neovlašćenog MS-SQL honeypot-a sa IP adresa AS208091 samo nekoliko sati nakon početnog proboja „sa“ naloga.
Prilikom analize evidentiranih akcija napadača, otkrivene su dve različite šeme eksploatacije koje se ponavljaju. Ove šeme su verovatno izvršene pomoću skripti ili alata.
Ispitivanjem IoC-a i TTP-ova otkriveno je da je 19 od mnogih pokušaja identifikovalo par odvojenih obrazaca koji odgovaraju jednom istom skupu upada.
Mallox tok implementacije (Izvor – Sekoia)
Eksploatacija MS-SQL-a pokušava da primjeni korisna opterećenja koja odgovaraju PureCrypter-u, koji preuzima datoteke sa nasumičnim multimedijalnim ekstenzijama koje sadrže šifrovane .NET biblioteke.
Ove biblioteke su bile refleksivno učitane, dešifrovane i izvršile sledeću fazu PureCrypter korisnog opterećenja koja je konačno učitala Mallox ransomware iz svojih resursa.
PureCrypter koristi tehnike izbjegavanja kao što su otkrivanje okruženja, prilagođavanje privilegija i deflacija ili dešifrovanje ugrađenih resursa.
Kada PureCrypter nije uspio, napadač je pokušao direktno postavljanje Mallox-a. PureCrypter koristi definicije protobuf-a za čuvanje šifrovane izvršne datoteke Mallox pod nasumičnim imenom kao što je „Idkhjkvf.eke“.
Mallox je ozloglašena ransomware-as-a-service (RaaS) operacija koja isporučuje više varijanti Mallox ransomware-a, takođe poznatog kao Fargo, TargetCompani, itd.
Ubrzao je napade krajem 2022. korištenjem dvostrukog iznuđivanja, postajući jedna od najrasprostranjenijih porodica ransomware-a početkom 2023. Mallox operateri iskorištavaju ranjivosti na MS-SQL serverima, grubom silom napadaju slabe kredencijale i koriste phishing za početni pristup.
Rukovođen vjerovatno bivšim članovima ransomware grupe, Mallox je prešao na RaaS model sredinom 2022. sa ličnostima poput „Mallx“ i „RansomR“ koji su regrutovali podružnice koje govore ruski na forumima kao što je RAMP.
Do sredine 2022, Mallox ransomware je naučio da koristi tehniku dvostruke iznude eksfiltracije podataka i objavljivanja ukradenih podataka. Zatim je prešao na specijalizovane pregovaračke sajtove o TOR-u i koristio strategiju trostruke iznude, navodi se u izveštaju.
U periodu 2022-2023, Malox je uprljao ruke snažno utičući na azijske žrtve u različitim oblastima kao što su proizvodnja i maloprodaja, uprkos tome što je tvrdio da izbjegava napade na istočnu Evropu.
Pogođene zemlje (Izvor – Sekoia)
Sajt za objavljivanje izvučenih informacija sadržao je preko 35 imena žrtava. Analiza je pokazala da je MS-SQL praznine iskoristio “maestro” među zaposlenima Mallok-a tokom početnog kompromisa.
Izvor: CyberSecurityNews