O honeypot, criado pela equipe de pesquisa da Sekoia, foi alvo de um conjunto de invasões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.
Ao analisar amostras de Mallox, os pesquisadores identificaram duas afiliadas distintas usando abordagens diferentes. Um centrava-se na exploração de activos vulneráveis, enquanto o outro visava compromissos mais amplos de sistemas de informação em maior escala.
O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida uma hora após a implantação. O invasor persistiu na força bruta durante todo o período de observação, indicando um esforço determinado.
Foram observadas tentativas de exploração, com padrões distintos identificados. O invasor aproveitou várias técnicas, incluindo a ativação de parâmetros específicos, a criação de assemblies e a execução de comandos por meio de xp_cmdshell e procedimentos de automação Ole.
As cargas correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que posteriormente executou o ransomware Mallox. PureCrypter, vendido como Malware como serviço por um agente de ameaça que opera sob o pseudônimo PureCoder, emprega várias técnicas de evasão para evitar detecção e análise.
O grupo Mallox, uma operação de ransomware como serviço que distribui o ransomware homônimo, está ativo pelo menos desde junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados, além de criptografá-los.
A pesquisa também destaca o papel dos afiliados na operação Mallox, focando principalmente em usuários como Maestro, Vampire e Hiervos, que apresentam diferentes táticas e demandas de resgate.
Além disso, a pesquisa levanta suspeitas em relação à empresa de hospedagem Xhost Internet, ligada ao AS208091, que já foi associada a atividades de ransomware no passado.
“Embora as ligações formais com atividades relacionadas ao crime cibernético permaneçam sem comprovação, o envolvimento deste AS em instâncias anteriores de comprometimento de ransomware e a longevidade do monitoramento de endereços IP são intrigantes”, diz o artigo técnico . “Os analistas da Sekoia.io continuarão monitorando as atividades associadas a este AS e investigando as operações relacionadas.”
CVE-2025-20352 no SNMP do IOS/IOS XE permite DoS e até execução como root; aplique os…
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…