Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

TargetCompany punta il ransomware Mallox sui server Microsoft SQL

Redazione RHC : 3 Maggio 2024 07:36

Gli esperti di sicurezza informatica dell’ASEC Lab hanno identificato una serie di attacchi informatici avanzati contro i server Microsoft SQL (MS-SQL). Un gruppo di aggressori noto come TargetCompany utilizza il ransomware Mallox per crittografare i sistemi ed estorcere le vittime.

Gli attacchi del gruppo ricordano precedenti incidenti con il miner Tor2Mine e il virus BlueSky, indicando una minaccia continua alla sicurezza digitale. Il modus operandi di TargetCompany è quello di sfruttare le vulnerabilità nei server MS-SQL gestiti in modo improprio, dove gli aggressori ottengono accesso non autorizzato utilizzando attacchi di forza bruta, prendendo di mira principalmente l’account dell’amministratore di sistema.

Dopo essere penetrati nel sistema, gli aggressori installano lo strumento di accesso remoto Remcos RAT, che consente loro di controllare completamente l’host infetto. Va notato che Remcos RAT, è uno strumento originariamente progettato per il controllo remoto legittimo, ma da tempo adattato per attività dannose. Gli attacchi hanno utilizzato una versione semplificata di Remcos, indicando il desiderio degli aggressori di un controllo remoto più fluido senza attirare l’attenzione.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Dopo l’infezione iniziale, gli aggressori distribuiscono anche il proprio malware di controllo remoto, seguito dal ransomware Mallox. Questo virus, che prende di mira i server MS-SQL, utilizza algoritmi di crittografia AES-256 e SHA-256, aggiungendo l’estensione “.rmallox” ai file crittografati. Mallox evita di crittografare determinati percorsi ed estensioni di file, concentrando solo dati potenzialmente preziosi.

I modelli di attacco osservati in questa campagna sono sorprendentemente simili ai precedenti incidenti di TargetCompany, che hanno consentito agli esperti ASEC di attribuire queste azioni dannose ai membri di questo gruppo.

Gli amministratori dei server MS-SQL sono fortemente incoraggiati a implementare policy rigorose per le password, aggiornare regolarmente i propri sistemi e utilizzare soluzioni di sicurezza complete per prevenire tali minacce.

Poiché il panorama digitale continua ad evolversi, così come la natura delle minacce informatiche, la necessità di vigilanza e misure di sicurezza proattive per proteggersi dagli attacchi ransomware rimane elevata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.