Mallox Ransomware Group Merombak Varian Malware, Taktik Penghindaran

Kelompok ransomware Mallox meningkatkan permainannya dalam serangan yang ditargetkan terhadap organisasi dengan server SQL yang rentan. Baru-baru ini malware tersebut muncul dengan varian baru dan berbagai alat malware tambahan untuk mencapai persistensi dan menghindari deteksi seiring dengan momentum yang terus meningkat.

Malloz (alias Perusahaan Target, Fargo, dan Tohnichi) muncul pada bulan Juni 2021. Dalam serangan terbarunya, ia menggabungkan ransomware khusus dengan dua produk malware yang terbukti — the RAT remcos dan obfuscator BatCloak, peneliti dari TrendMicro terungkap dalam posting blog hari ini.

Meskipun demikian, taktik yang digunakan kelompok tersebut untuk mendapatkan akses ke jaringan organisasi yang ditargetkan tetap konsisten dalam kampanye terbaru – “eksploitasi server SQL yang rentan untuk terus menerapkan tahap pertamanya,” ungkap Don Ovid Ladores dan Nathaniel Morales dari TrendMicro. di pos.

Memang, Mallox — yang mana sudah mengklaim telah menginfeksi ratusan organisasi di seluruh dunia di sektor-sektor seperti manufaktur, ritel, grosir, hukum, dan layanan profesional — biasanya mengeksploitasi dua kerentanan eksekusi kode jarak jauh (RCE) di SQL, CVE-2020-0618 dan CVE-2019-1068, dalam serangannya.

Namun, kelompok tersebut juga mulai melakukan perubahan pada tahap akhir serangan untuk mempertahankan kehadirannya secara diam-diam di jaringan yang ditargetkan dan menyembunyikan aktivitas jahatnya, demikian temuan para peneliti.

“Rutinitas mencoba berbagai arah untuk mencoba kegigihan, seperti mengubah URL atau jalur yang berlaku hingga berhasil menemukan area untuk mengeksekusi RAT remcos," mereka menulis.

Mendeteksi Malware yang Tidak Terdeteksi

Tim mengidentifikasi kampanye tersebut setelah menyelidiki koneksi jaringan mencurigakan terkait PowerShell, yang membawanya pada penemuan varian baru Mallox, yang oleh TrendMicro disebut sebagai TargetCompany.

“Saat kami memeriksa biner payload, kami melihat bahwa varian tersebut termasuk dalam versi kedua dari keluarga ransomware tersebut, biasanya ditandai dengan koneksi ke server perintah-dan-kontrol (C2) dengan halaman arahan '/ap.php' , ”ungkap para peneliti dalam postingan tersebut.

Namun, karena upaya awal akses dihentikan dan diblokir oleh solusi keamanan yang ada, “penyerang memilih untuk menggunakan versi binari mereka yang terbungkus FUD [sepenuhnya tidak terdeteksi]” untuk melanjutkan serangannya,” tulis para peneliti.

FUD adalah teknik kebingungan yang digunakan penyerang yang secara otomatis mengacak ransomware untuk menghindari teknologi deteksi berbasis tanda tangan, sehingga meningkatkan peluang keberhasilannya. Mallox tampaknya menggunakan gaya FUD yang digunakan oleh BatCloak - menggunakan file batch sebagai lapisan luar dan kemudian mendekode dan memuat menggunakan PowerShell untuk membuat LOLBin eksekusi, menurut TrendMicro.

Kelompok tersebut juga menggunakan alat peretasan Metasploit, yang dikerahkan pada tahap serangan selanjutnya sebelum Remcos RAT menyelesaikan rutinitas terakhirnya, untuk memuat ransomware Mallox yang dibungkus dalam pengemas FUD, kata para peneliti.

Meskipun penggunaan FUD packer dan Metasploit bukanlah taktik baru, hal ini menunjukkan bagaimana Mallox, seperti penyerang lainnya, “akan terus berinovasi bahkan dengan cara penyalahgunaan yang paling sederhana” untuk menghindari pertahanan yang dibuat oleh organisasi untuk menghindari kompromi, kata para peneliti.

“Tim dan organisasi keamanan tidak boleh meremehkan efektivitasnya dalam menghindari solusi keamanan saat ini dan yang sudah ada, terutama pada fitur-fitur utama yang membuat teknologi hampir tidak terlihat sampai korbannya terdokumentasi,” tulis mereka dalam postingan tersebut.

Cara Bertahan Terhadap Mallox Ransomware

TrendMicro memperkirakan mayoritas korban Mallox masih memiliki Server SQL yang rentan yang dieksploitasi untuk mendapatkan akses. Untuk mengatasi hal ini, tim keamanan harus memiliki visibilitas terhadap celah-celah perbaikan yang mereka miliki, dan memeriksa semua permukaan serangan yang mungkin terjadi untuk memastikan sistem mereka masing-masing tidak rentan terhadap penyalahgunaan dan eksploitasi.

Sementara itu, sebagai FUD pengepakan yang digunakan Mallox tampaknya selangkah lebih maju dari solusi keamanan saat ini yang digunakan sebagian besar organisasi, mungkin ini saatnya untuk meningkatkan permainan dan menambahkan solusi pemeriksaan file dan pemantauan perilaku berbasis AI dan pembelajaran mesin ke dalam solusi tersebut. peneliti mencatat.

Selain itu, praktik terbaik untuk pemblokiran jaringan serta deteksi ransomware tertentu dan tindakan pemblokiran juga dapat memberikan pendekatan berlapis untuk memitigasi dampak risiko yang ditimbulkan oleh ancaman ini.

“Organisasi harus mendorong dan menerapkan latihan yang berlebihan untuk memastikan kesadaran pengguna akan sistem dan jaringan mereka sendiri untuk mencegah upaya intrusi dan pelaksanaan aktivitas jahat,” tulis para peneliti.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot/mallox-ransomware-group-steams-ahead-with-new-variant-evasion-tactics