Nowa wersja Mallox ransomware atakuje podatne serwery MS SQL

Serwery baz danych Microsoft SQL, które od początku nie mają łatwo z bezpieczeństwem, po raz kolejny stały się głównym celem nowej fali ataków ransomware. Badacze z centrum ASEC (AhnLab Security Emergency Response Center) opisali nowe zagrożenie pod nazwą FARGO (znowu badacze z Avast jednocześnie nazwali infekcję TargetCompany), które należy do starszej rodziny malware o nazwie “Mallox” ze względu, że zaszyfrowane pliki otrzymują rozszerzenie “.mallox”. Co ciekawe, z racji, że ta grupa malware nie jest pierwszej młodości to są dowody na możliwość odtworzenia procesu szyfrowania za darmo w niektórych przypadkach. Zerknijmy na łańcuch infekcji, który został upubliczniony w ASEC.

Rys. 1. Drzewo procesu infekcji, źródło.

Pierwotny sposób infekcji nie został jeszcze odkryty, natomiast można się spodziewać, że wykorzystywane są znane podatności na nie zaktualizowanych serwerach MS SQL oraz Windows Server oraz za pomocą frameworku Cobalt Strike. Także z pewnością możliwe jest wykorzystanie klasycznej formy „wjazdu” czyli otwarcie złośliwych załączników lub linków z korespondencji e-mail.

Na rysunku 1 możemy zauważyć plik 1atd4tiv.exe pobrany przez proces MS-SQL z pomocą linii poleceń cmd.exe oraz interpretera powershell.exe. Plik jest loaderem właściwego malware ze statycznego adresu IP (rys. 2). Następnie tworzony i wykonywany jest plik *.bat, który wyłącza usługi z poziomu katalogu %TEMP%.

Rys. 2. Pobranie właściwego malware w postaci zaciemnionego pliku PNG, źródło.

Następnie infekcja dokonuje spustoszenia w rejestrze systemu Windows usuwając wpisy związane z prawidłową pracą systemu oraz bazy danych (rys. 3.)

Rys. 3. Proces usuwania wpisów rejestru przez FARGO, źródło.

Następnie wykonuje się proces szyfrowania plików i bazy danych. Co ciekawe, na rysunku 4 możemy zauważyć rozszerzenia wyłączone z szyfrowania do których zalicza się *.FARGOx. Oznacza to prawdopodobnie, że już jest budowana kolejna wersja ransomware, która właśnie będzie rozpoznawalna po pozostawianiu takich rozszerzeń naruszonych plików.

Rys. 4. Tabela rozszerzeń wyłączonych z procesu szyfrowania, źródło.

Rys. 5. Aktywność FARGO/TargetCompany na przełomie sierpnia i września 2022 r.

Warto zauważyć, że w ostatnim czasie zauważono dosyć spory ruch wokół tego ransomware, jak można odczytać w serwisie ID ransomware (rys. 5). Wszystko wskazuje na to, że infekcja jest cały czas udoskonalana i możemy w niedługim czasie spodziewać się jej nowego wydania. Pamiętajcie by wtedy Wasze środowiska były aktualne, a backupy sprawdzone, w oddzielnej lokalizacji offline.

Źródło:

1. https://asec.ahnlab.com/en/39152/
2. https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-in-targetcompany-ransomware-attacks/
3. https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/
4. https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany

~tt