Mallox Ransomware implantado por meio de ataque MS-SQL Honeypot

O honeypot, criado pela equipe de pesquisa da Sekoia, foi alvo de um conjunto de invasões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.

Ao analisar amostras de Mallox, os pesquisadores identificaram duas afiliadas distintas usando abordagens diferentes. Um centrava-se na exploração de activos vulneráveis, enquanto o outro visava compromissos mais amplos de sistemas de informação em maior escala.

O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida uma hora após a implantação. O invasor persistiu na força bruta durante todo o período de observação, indicando um esforço determinado.

Foram observadas tentativas de exploração, com padrões distintos identificados. O invasor aproveitou várias técnicas, incluindo a ativação de parâmetros específicos, a criação de assemblies e a execução de comandos por meio de xp_cmdshell e procedimentos de automação Ole.

As cargas correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que posteriormente executou o ransomware Mallox. PureCrypter, vendido como Malware como serviço por um agente de ameaça que opera sob o pseudônimo PureCoder, emprega várias técnicas de evasão para evitar detecção e análise.

O grupo Mallox, uma operação de ransomware como serviço que distribui o ransomware homônimo, está ativo pelo menos desde junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados, além de criptografá-los.

A pesquisa também destaca o papel dos afiliados na operação Mallox, focando principalmente em usuários como Maestro, Vampire e Hiervos, que apresentam diferentes táticas e demandas de resgate.

Além disso, a pesquisa levanta suspeitas em relação à empresa de hospedagem Xhost Internet, ligada ao AS208091, que já foi associada a atividades de ransomware no passado. 

“Embora as ligações formais com atividades relacionadas ao crime cibernético permaneçam sem comprovação, o envolvimento deste AS em instâncias anteriores de comprometimento de ransomware e a longevidade do monitoramento de endereços IP são intrigantes”, diz o artigo técnico . “Os analistas da Sekoia.io continuarão monitorando as atividades associadas a este AS e investigando as operações relacionadas.”