MS-SQL Sunucularına Saldıran Mallox Fidye Yazılımı

   Temmuz 21, 2023  Posted in CyberSecurityNews


Mallox Fidye Yazılımı Kurbanların Ağlarını Ele Geçirmek İçin MS-SQL Sunucularına Saldırıyor

Mallox adlı yeni bir fidye yazılımı türü (aka TargetCompany, FARGO ve Tohnichi) aktif olarak Microsoft SQL (MS-SQL) sunucularını hedefliyor ve saldırıyor.

Haziran 2021’den bu yana, bu yeni fidye yazılımı türü aktiftir ve kurbanların ağlarına sızmak ve bu ağları aşmak amacıyla güvenli olmayan MS-SQL sunucularını hedef aldığı için dikkat çekicidir.

Mallox fidye yazılımı, dağıtım için kaba kuvvet, veri hırsızlığı ve ağ tarayıcıları kullanan MS-SQL sunucularını kullanan Mallox fidye yazılımında önemli bir artış (%174) kaydeden Unit 42’deki güvenlik araştırmacıları tarafından kısa bir süre önce tespit edildi.

Mallox saldırı girişimleri (Kaynak – Birim 42)

Mallox Fidye Yazılımı

Mallox fidye yazılımı, kurbanları fidyeyi ödemeye zorlamak için bir koz olarak kullanarak dosyaları şifreleyip verileri çalarak çifte gasp taktikleri benimsiyor.

Tor’daki Mallox web sitesi (Kaynak – Ünite 42)

Grup, düzeltilmiş isimler ve logolarla sızdırılmış verileri sergileyerek kurbanlara müzakereler ve ödemeler için özel anahtarlar veriyor.

Mallox özel sohbeti (Kaynak – Birim 42)

Mallox fidye yazılımının arkasındaki grup yüzlerce kurbanla övünür, ancak Unit 42’nin telemetrisi dünya çapında çeşitli sektörlerden düzinelerce kişiyi ortaya çıkarır:-

  • Üretme
  • Profesyonel hizmetler
  • Yasal hizmetler
  • Toptan
  • Perakende

Mallox faaliyetleri, 2022’nin sonlarına kıyasla saldırılarda %174’lük şaşırtıcı bir artışla 2023 boyunca arttı.

Kalıcı Mallox grubu, ilk erişim için tutarlı bir strateji kullanır, sözlük kaba kuvveti aracılığıyla güvenli olmayan MS-SQL sunucularını hedefler, ardından fidye yazılımı yükünü indirmek için komut satırı ve PowerShell izler.

SQL sunucu istismarı (Kaynak – Ünite 42)

Mallox’un Yürütülmesi

Başarılı yürütme için fidye yazılımı yükü, şifrelemeden önce çok sayıda girişimde bulunur. Aşağıda tüm girişimlerden bahsettik: –

  • sc.exe ve net.exe kullanılarak SQL ile ilgili hizmetleri durdurma ve kaldırma girişimleri.
  • Şifrelemeden sonra dosya geri yüklemesini kısıtlayarak birim gölgelerini silmeye çalışır.
  • Microsoft’un wevtutil komut satırını kullanarak günlükleri silmeye çalışır, tespit ve adli analizden kaçınır.
  • Ransomware, Takeown.exe’yi kullanarak dosya izinlerini değiştirerek cmd.exe gibi kritik sistem işlemlerine erişimi engeller.
  • Sistem yöneticisinin seçeneklerini sınırlayarak bcdedit.exe ile manuel Sistem Görüntüsü Kurtarmayı engeller.
  • Güvenlik işlemlerini sonlandırmak ve güvenlik çözümlerinden kaçınmak için taskkill.exe’yi kullanır.
  • Kayıt defteri anahtarını kaldırarak, Raccine fidye yazılımını yenmeye çalışır.
Saldırının işlem ağacı (Kaynak – Birim 42)

Fidye notu

Fidye yazılımı, kurbanın sürücüsündeki her dizinde, bulaşmayı açıklayan ve iletişim bilgilerini sunan bir fidye notu bırakır.

Fidye Notu (Kaynak – Ünite 42)

Mallox küçük ve kapalı bir grup olmasına rağmen grup, yasa dışı operasyonlarını genişletmek için üyeler alarak büyümeyi hedefliyor. Başarılı üye alımı ile Mallox, kapsamını genişletebilir ve ek kuruluşları hedefleyebilir.

Birim 42, saldırı yüzeyini en aza indirmek ve saldırganların seçeneklerini sınırlamak için internete bakan uygulamalar ve sistemler için uygun yapılandırma ve yama uygulamalarını önerir.



Source link