O honeypot, criado pela equipe de pesquisa da Sekoia, foi alvo de um conjunto de invasões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.
Ao analisar amostras de Mallox, os pesquisadores identificaram duas afiliadas distintas usando abordagens diferentes. Um centrava-se na exploração de activos vulneráveis, enquanto o outro visava compromissos mais amplos de sistemas de informação em maior escala.
O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida uma hora após a implantação. O invasor persistiu na força bruta durante todo o período de observação, indicando um esforço determinado.
Foram observadas tentativas de exploração, com padrões distintos identificados. O invasor aproveitou várias técnicas, incluindo a ativação de parâmetros específicos, a criação de assemblies e a execução de comandos por meio de xp_cmdshell e procedimentos de automação Ole.
As cargas correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que posteriormente executou o ransomware Mallox. PureCrypter, vendido como Malware como serviço por um agente de ameaça que opera sob o pseudônimo PureCoder, emprega várias técnicas de evasão para evitar detecção e análise.
O grupo Mallox, uma operação de ransomware como serviço que distribui o ransomware homônimo, está ativo pelo menos desde junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados, além de criptografá-los.
A pesquisa também destaca o papel dos afiliados na operação Mallox, focando principalmente em usuários como Maestro, Vampire e Hiervos, que apresentam diferentes táticas e demandas de resgate.
Além disso, a pesquisa levanta suspeitas em relação à empresa de hospedagem Xhost Internet, ligada ao AS208091, que já foi associada a atividades de ransomware no passado.
“Embora as ligações formais com atividades relacionadas ao crime cibernético permaneçam sem comprovação, o envolvimento deste AS em instâncias anteriores de comprometimento de ransomware e a longevidade do monitoramento de endereços IP são intrigantes”, diz o artigo técnico . “Os analistas da Sekoia.io continuarão monitorando as atividades associadas a este AS e investigando as operações relacionadas.”
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…