O honeypot, criado pela equipe de pesquisa da Sekoia, foi alvo de um conjunto de invasões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.
Ao analisar amostras de Mallox, os pesquisadores identificaram duas afiliadas distintas usando abordagens diferentes. Um centrava-se na exploração de activos vulneráveis, enquanto o outro visava compromissos mais amplos de sistemas de informação em maior escala.
O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida uma hora após a implantação. O invasor persistiu na força bruta durante todo o período de observação, indicando um esforço determinado.
Foram observadas tentativas de exploração, com padrões distintos identificados. O invasor aproveitou várias técnicas, incluindo a ativação de parâmetros específicos, a criação de assemblies e a execução de comandos por meio de xp_cmdshell e procedimentos de automação Ole.
As cargas correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que posteriormente executou o ransomware Mallox. PureCrypter, vendido como Malware como serviço por um agente de ameaça que opera sob o pseudônimo PureCoder, emprega várias técnicas de evasão para evitar detecção e análise.
O grupo Mallox, uma operação de ransomware como serviço que distribui o ransomware homônimo, está ativo pelo menos desde junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados, além de criptografá-los.
A pesquisa também destaca o papel dos afiliados na operação Mallox, focando principalmente em usuários como Maestro, Vampire e Hiervos, que apresentam diferentes táticas e demandas de resgate.
Além disso, a pesquisa levanta suspeitas em relação à empresa de hospedagem Xhost Internet, ligada ao AS208091, que já foi associada a atividades de ransomware no passado.
“Embora as ligações formais com atividades relacionadas ao crime cibernético permaneçam sem comprovação, o envolvimento deste AS em instâncias anteriores de comprometimento de ransomware e a longevidade do monitoramento de endereços IP são intrigantes”, diz o artigo técnico . “Os analistas da Sekoia.io continuarão monitorando as atividades associadas a este AS e investigando as operações relacionadas.”
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…