Honeypot Ungkap Taktik Canggih Mallox Ransomware

Honeypot Ungkap Taktik Canggih Mallox Ransomware

Posted by : Admin , May 27, 2024
Sebuah insiden terbaru yang melibatkan honeypot MS-SQL telah mengungkap taktik canggih yang digunakan oleh penyerang siber dengan ransomware Mallox. Honeypot yang disiapkan oleh tim riset Sekoia ini diserang dengan teknik brute-force untuk menyebarkan Mallox melalui PureCrypter, memanfaatkan berbagai kerentanan MS-SQL. Peneliti mengidentifikasi dua afiliasi berbeda yang menggunakan pendekatan berbeda: satu mengeksploitasi aset yang rentan dan yang lainnya menargetkan sistem informasi dalam skala besar. Akses awal ke server MS-SQL terjadi melalui serangan brute-force terhadap akun “sa” (SQL Administrator). Penyerang menggunakan teknik seperti mengaktifkan parameter tertentu, membuat assemblies, dan mengeksekusi perintah melalui xp_cmdshell dan Ole Automation Procedures. Payload yang digunakan adalah PureCrypter, loader berbasis .NET yang menjalankan ransomware Mallox. PureCrypter dijual sebagai Malware-as-aService oleh pelaku dengan alias PureCoder. Kelompok Mallox, yang aktif sejak Juni 2021, menggunakan strategi pemerasan ganda, mengancam untuk mempublikasikan data yang dicuri selain mengenkripsi data tersebut. Penelitian juga menyoroti peran afiliasi dalam operasi Mallox, seperti Maestro, Vampire, dan Hiervos, yang memiliki taktik dan permintaan tebusan berbeda. Selain itu, penelitian mencurigai perusahaan hosting Xhost Internet yang terkait dengan AS208091, yang sebelumnya dikaitkan dengan aktivitas ransomware.

Sumber : https://www.infosecurity-magazine.com/news/mallox-ransomware-deployed-via-ms/