Baru-baru ini, para peneliti keamanan siber menemukan bahwa para peretas telah secara aktif mengeksploitasi server MS-SQL untuk menyebarkan ransomware Mallox
Karena kata sandi yang lemah, kerentanan yang tidak ditambal, dan kesalahan konfigurasi pada instalasi MS-SQL, para pelaku ancaman yang menggunakan pemindaian otomatis dan alat eksploitasi menganggapnya menarik. Selain itu, server MS-SQL yang diretas dapat menjadi pintu masuk ke dalam jaringan organisasi, tempat ransomware dapat disebarkan atau aktivitas berbahaya lainnya dapat dilakukan.
Setelah penyusupan, para penyerang memanfaatkan eksploitasi MS-SQL untuk menyebarkan ransomware Mallox menggunakan PureCrypter. Penyelidikan sampel Mallox mengungkapkan dua kelompok afiliasi - satu mengeksploitasi kerentanan, yang lainnya melakukan kompromi sistem yang lebih luas.
Upaya eksploitasi MS-SQL menggunakan muatan yang sesuai dengan PureCrypter, yang mengunduh file dengan ekstensi multimedia acak yang berisi pustaka .NET terenkripsi.
Pustaka-pustaka ini dimuat secara reflektif, mendekripsi, dan mengeksekusi tahap berikutnya dari muatan PureCrypter yang akhirnya memuat ransomware Mallox dari sumber dayanya.
PureCrypter menggunakan teknik penghindaran seperti deteksi lingkungan, penyesuaian hak istimewa, dan mengempiskan atau mendekripsi sumber daya yang disematkan.
Ketika PureCrypter gagal, penyerang mencoba menyebarkan Mallox secara langsung. PureCrypter menggunakan definisi protobuf untuk menyimpan eksekusi Mallox yang terenkripsi di bawah nama acak seperti “Ydxhjxwf.exe”.
Mallox adalah sebuah operasi ransomware-as-a-service (RaaS) yang terkenal yang mendistribusikan berbagai varian ransomware Mallox, yang juga dikenal sebagai Fargo, TargetCompany, dll.
Pada tahun 2022-2023, Mallox memberikan dampak besar pada korban di Asia di berbagai bidang seperti manufaktur dan ritel,.
Sumber : https://cybersecuritynews.com/exploit-ms-sql-mallox-ransomware/
Karena kata sandi yang lemah, kerentanan yang tidak ditambal, dan kesalahan konfigurasi pada instalasi MS-SQL, para pelaku ancaman yang menggunakan pemindaian otomatis dan alat eksploitasi menganggapnya menarik. Selain itu, server MS-SQL yang diretas dapat menjadi pintu masuk ke dalam jaringan organisasi, tempat ransomware dapat disebarkan atau aktivitas berbahaya lainnya dapat dilakukan.
Setelah penyusupan, para penyerang memanfaatkan eksploitasi MS-SQL untuk menyebarkan ransomware Mallox menggunakan PureCrypter. Penyelidikan sampel Mallox mengungkapkan dua kelompok afiliasi - satu mengeksploitasi kerentanan, yang lainnya melakukan kompromi sistem yang lebih luas.
Upaya eksploitasi MS-SQL menggunakan muatan yang sesuai dengan PureCrypter, yang mengunduh file dengan ekstensi multimedia acak yang berisi pustaka .NET terenkripsi.
Pustaka-pustaka ini dimuat secara reflektif, mendekripsi, dan mengeksekusi tahap berikutnya dari muatan PureCrypter yang akhirnya memuat ransomware Mallox dari sumber dayanya.
PureCrypter menggunakan teknik penghindaran seperti deteksi lingkungan, penyesuaian hak istimewa, dan mengempiskan atau mendekripsi sumber daya yang disematkan.
Ketika PureCrypter gagal, penyerang mencoba menyebarkan Mallox secara langsung. PureCrypter menggunakan definisi protobuf untuk menyimpan eksekusi Mallox yang terenkripsi di bawah nama acak seperti “Ydxhjxwf.exe”.
Mallox adalah sebuah operasi ransomware-as-a-service (RaaS) yang terkenal yang mendistribusikan berbagai varian ransomware Mallox, yang juga dikenal sebagai Fargo, TargetCompany, dll.
Pada tahun 2022-2023, Mallox memberikan dampak besar pada korban di Asia di berbagai bidang seperti manufaktur dan ritel,.
Sumber : https://cybersecuritynews.com/exploit-ms-sql-mallox-ransomware/