Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

TargetCompany атакует серверы Microsoft SQL вирусом-вымогателем Mallox

03/05/24

BLOG-Whats-new-in-SQL-Server-2022

Эксперты в области кибербезопасности из лаборатории ASEC выявили серию продвинутых кибератак, направленных на серверы Microsoft SQL (MS-SQL). Группа злоумышленников, известная как TargetCompany, использует вирус-вымогатель Mallox для шифрования систем и вымогательства у жертв.

Атаки группировки напоминают предыдущие инциденты с использованием майнера Tor2Mine и вируса BlueSky, что свидетельствует о неутихающей угрозе для цифровой безопасности, пишут в Securitylab. Методы действий TargetCompany заключаются в эксплуатации уязвимостей на ненадлежаще управляемых серверах MS-SQL, где злоумышленники получают несанкционированный доступ, используя атаки по словарю и атаки методом перебора, нацеливаясь в первую очередь на аккаунт системного администратора.

После проникновения в систему, злоумышленники устанавливают инструмент удалённого доступа Remcos RAT, что позволяет им полностью контролировать заражённый хост. Следует отметить, что Remcos RAT, инструмент, изначально предназначенный для легитимного удалённого управления, давно был адаптирован для злонамеренных действий. В атаках использовалась упрощённая версия Remcos, что указывает на стремление злоумышленников к более гладкому удалённому управлению без привлечения внимания.

После первоначального заражения злоумышленники также развёртывают свою собственную вредоносную программу для удалённого управления, а затем — вирус-вымогатель Mallox. Этот вирус, нацеленный на серверы MS-SQL, использует алгоритмы шифрования AES-256 и SHA-256, добавляя к зашифрованным файлам расширение «.rmallox». Mallox избегает шифрования определённых путей и расширений файлов, сосредоточиваясь только потенциально ценных данных.

Паттерны атак, наблюдаемые в этой кампании, поразительно напоминают предыдущие инциденты TargetCompany, что и позволило экспертам ASEC отнести данные вредоносные действия к участникам этой группы.

 

Темы:MicrosoftПреступленияВымогателиSQLASEC
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...