• Ciberseguridad

Ransomware Mallox ataca servidores MS-SQL | 7 tips para detenerlo

Ransomware Mallox

En el 2023 el Ransomware Mallox experimentó un aumento alarmante del 174% en comparación con el año anterior, según los hallazgos recientes de la Unidad 42 de Palo Alto Networks. Esta tendencia ascendente subraya la creciente amenaza que representan los actores de Ransomware.

Se caracteriza por su rapidez y eficiencia al cifrar archivos, convirtiéndose en una de las mayores amenazas cibernéticas. Este grupo utiliza principalmente campañas de correo electrónico de spam y troyanos para introducirse en los sistemas de las víctimas, iniciando un proceso de ataque meticuloso y devastador.

Mallox, al igual que algunos otros colectivos de Ransomware, deliberadamente evita atacar a usuarios de ciertos países, tales como Rusia, Kazajistán, Ucrania y Qatar. Una vez que el Ransomware penetra en un sistema, examina el idioma configurado en el sistema operativo; si identifica que pertenece a uno de los países exentos, el proceso de cifrado no se lleva a cabo, y en caso de haberse iniciado, la clave de descifrado se proporciona de manera gratuita.

Además de esta prudencia geográfica, el Ransomware Mallox se esmera en escalar sus privilegios para obtener acceso a redes más privilegiadas, desactivando el modo de reparación y el inicio automático. Después de estos preparativos, se inicia un cifrado rápido de todos los archivos, añadiendo la extensión .mallox a cada archivo afectado. Este cifrado es sumamente robusto y no puede ser revertido simplemente eliminando la extensión; solo puede deshacerse con la clave de descifrado, la cual está exclusivamente en manos del grupo Ransomware Mallox.

Los ciberatacantes dejan una nota en el escritorio de la víctima, detallando minuciosamente las instrucciones sobre cómo establecer contacto y efectuar el pago del rescate en criptomonedas para obtener la clave de descifrado. Esta estrategia de secuestro digital no sólo obstruye el acceso a información crucial, sino que también impone un costo financiero considerable, afianzando al Ransomware Mallox como una de las amenazas más fuertes en el panorama contemporáneo de la ciberseguridad.

¿Por qué el Ransomware Mallox ataca servidores MS-SQL?

1. Vulnerabilidades comunes en MS-SQL ✔️

Los servidores MS-SQL son objetivos atractivos debido a las vulnerabilidades que suelen presentar. Muchas organizaciones no actualizan sus servidores con la frecuencia necesaria, dejando abiertas puertas que los cibercriminales pueden explotar. Estas vulnerabilidades pueden incluir configuraciones incorrectas, credenciales débiles y parches de seguridad desactualizados.

2. Acceso a información crítica ✔️

Los servidores MS-SQL a menudo contienen datos críticos y sensibles para las organizaciones. Al comprometer estos servidores, el Ransomware Mallox puede cifrar una gran cantidad de información valiosa, aumentando la presión sobre las víctimas para que paguen el rescate.

3. Uso extendido en diversos sectores ✔️

MS-SQL es ampliamente utilizado en sectores como la fabricación, los servicios profesionales y legales, y el comercio mayorista y minorista. Este amplio uso convierte a estos servidores en blancos lucrativos para los atacantes, ya que la interrupción de sus operaciones puede tener consecuencias severas y costosas.

Estrategias de extorsión doble del Ransomware Mallox

Mallox, como otros actores de ransomware modernos, ha adoptado la estrategia de doble extorsión para maximizar el impacto y la presión sobre sus víctimas. Esta táctica implica dos fases principales:

1. Robo de datos ✔️

Antes de cifrar los archivos, los atacantes de Mallox exfiltran una gran cantidad de datos sensibles de la organización. Esta información puede incluir:

  • Datos personales de empleados y clientes.
  • Información financiera y contable.
  • Propiedad intelectual y secretos comerciales.
  • Documentos confidenciales y estratégicos.

2. Cifrado de archivos ✔️

Ransomware Mallox note

Una vez que los datos han sido robados, el Ransomware Mallox procede a cifrar los archivos en los sistemas afectados, bloqueando el acceso de la organización a sus propios datos. Esto paraliza las operaciones normales y crea una situación de crisis inmediata.

3. Amenaza de publicación de datos ✔️

Después del cifrado, los atacantes del Ransomware Mallox amenazan con publicar los datos robados en sitios de fugas específicos si la víctima no paga el rescate. Esta amenaza de exposición pública añade una capa adicional de presión, ya que las organizaciones no solo enfrentan la pérdida de acceso a sus datos, sino también:

  • Riesgos de reputación: La publicación de datos sensibles puede dañar gravemente la reputación de la organización y erosionar la confianza de clientes y socios.
  • Consecuencias legales: Las violaciones de datos pueden resultar en multas significativas y acciones legales, especialmente si la información comprometida incluye datos personales protegidos por leyes de privacidad.
  • Competencia desleal: La divulgación de secretos comerciales y estrategias empresariales puede beneficiar a los competidores y afectar negativamente la posición de mercado de la organización.

4. Presión para pagar el rescate ✔️

La estrategia de doble extorsión crea una situación en la que la víctima se ve obligada a considerar seriamente el pago del rescate. Los factores que influyen en esta decisión incluyen:

  • La urgencia de recuperar el acceso a los datos cifrados para reanudar las operaciones.
  • La necesidad de evitar la exposición pública de información sensible.
  • La evaluación del costo del rescate en comparación con las posibles pérdidas y daños colaterales.

5. Medidas preventivas y de mitigación ✔️

Para protegerse contra la amenaza de doble extorsión de Mallox, las organizaciones deben implementar una serie de medidas preventivas y de mitigación, incluyendo:

  • Copia de seguridad y recuperación: Mantener copias de seguridad regulares y seguras de todos los datos críticos y asegurarse de que se pueden restaurar rápidamente.
  • Seguridad de red y endpoint: Implementar soluciones de seguridad robustas para proteger los puntos finales y la red contra intrusiones y malware.
  • Entrenamiento y concienciación: Capacitar a los empleados sobre las mejores prácticas de seguridad y cómo reconocer intentos de phishing y otras tácticas de ingeniería social.
  • Respuesta a incidentes: Desarrollar y probar planes de respuesta a incidentes para asegurar una reacción rápida y efectiva en caso de un ataque.

Implementar estas estrategias puede ayudar a las organizaciones a reducir el riesgo y el impacto de un ataque de Ransomware Mallox, protegiendo tanto su operación como su reputación.

Vinculaciones y evoluciones de Mallox

El Ransomware Mallox está vinculado a varios actores de amenazas y otras cepas de Ransomware, incluyendo TargetCompany, Tohnichi, Fargo y, más recientemente, Xollam. Desde su aparición en junio de 2021, el Ransomware Mallox ha evolucionado en sus métodos y tácticas, adaptándose a las defensas y buscando nuevas formas de penetrar en las redes de las víctimas.

Vectores de penetración de Mallox

Uno de los aspectos más notables del grupo Mallox es su patrón de explotar servidores MS-SQL poco protegidos a través de ataques de diccionario. Este método permite a los atacantes comprometer las redes de las víctimas y desplegar su Ransomware. Sin embargo, con la cepa Xollam, se ha observado una desviación en las tácticas, utilizando archivos adjuntos maliciosos de OneNote para el acceso inicial, como lo detalló Trend Micro.

Técnicas de ataque y evasión

Un aspecto sobresaliente del grupo es su táctica de explotar servidores MS-SQL deficientemente protegidos mediante ataques de diccionario como vector de acceso para comprometer las redes de sus víctimas. Xollam, en cambio, se aparta de esta norma al utilizar archivos adjuntos maliciosos de OneNote para obtener acceso inicial.

Una vez que el Ransomware logra infectar con éxito un dispositivo, se ejecuta un comando PowerShell para recuperar la carga útil del Ransomware desde un servidor remoto. El binario del Ransomware se esfuerza por detener y eliminar servicios relacionados con SQL, suprimir instantáneas de volumen, borrar registros de eventos del sistema, finalizar procesos relacionados con la seguridad y eludir Raccine, una herramienta de código abierto diseñada para contrarrestar los ataques de Ransomware, antes de iniciar su proceso de cifrado. Tras esto, se deja una nota de rescate en cada directorio afectado.

Se cree que el grupo de Ransomware Mallox sigue siendo una entidad pequeña y cerrada, aunque se le ha observado reclutando afiliados en un foro de la dark web. El incremento en la actividad del Ransomware Mallox en los últimos meses, junto con sus recientes esfuerzos de reclutamiento, podría permitirles atacar a un mayor número de organizaciones.

Mallox Ransomware-as-a-Service (RaaS)

TargetCompany, aunque sigue siendo un grupo relativamente pequeño y cerrado, ha sido observado reclutando afiliados para el programa de Mallox ransomware-as-a-service (RaaS) en foros de ciberdelincuencia como RAMP. Este modelo de negocio permite a otros actores de amenazas utilizar el Ransomware Mallox en sus propios ataques a cambio de una parte de las ganancias, ampliando así el alcance y el impacto de Mallox.

¿Cómo detener los ataques de Mallox en servidores MS-SQL?

Ahora, para detener los ataques del Ransomware Mallox en servidores MS-SQL, es esencial implementar una serie de medidas de seguridad que protejan tanto el acceso al servidor como la integridad de los datos almacenados. A continuación, se presentan las mejores prácticas y estrategias recomendadas para mitigar y prevenir estos ataques:

1. Actualización y parches ✔️

  • Mantén el software actualizado: Asegúrate de que todas las versiones del servidor MS-SQL y los sistemas operativos asociados estén actualizados con los últimos parches de seguridad.
  • Automatiza las actualizaciones: Configura actualizaciones automáticas donde sea posible para asegurar que los sistemas reciban los parches tan pronto como estén disponibles.

2. Configuración de seguridad del servidor ✔️

  • Deshabilita funciones innecesarias: Deshabilita características y servicios no utilizados en el servidor SQL para reducir la superficie de ataque.
  • Configura adecuadamente las políticas de contraseña: Implementa políticas de contraseña robustas, incluyendo longitud mínima, complejidad y cambios periódicos.
  • Autenticación y Autorización: Utiliza autenticación Windows siempre que sea posible y limita los permisos de los usuarios solo a lo necesario.

3. Firewall y redes ✔️

  • Configura un firewall: Asegúrate de que solo los puertos necesarios para el funcionamiento del servidor SQL estén abiertos y accesibles desde ubicaciones confiables.
  • Segmentación de la red: Coloca los servidores SQL en subredes aisladas y limita el acceso mediante listas de control de acceso (ACLs).

4. Monitorización y detección ✔️

  • Monitoriza los registros: Implementa la monitorización continua de los registros del servidor SQL y del sistema operativo para detectar comportamientos anómalos.
  • Sistemas de detección de intrusos (IDS/IPS): Utiliza sistemas de detección y prevención de intrusos para identificar y bloquear actividades maliciosas en tiempo real.

5. Cifrado y protección de datos ✔️

  • Cifrado de datos: Asegura que los datos almacenados en el servidor SQL estén cifrados tanto en reposo como en tránsito.
  • Copia de seguridad y recuperación: Implementa estrategias de respaldo regulares y asegúrate de que las copias de seguridad estén protegidas y puedan ser restauradas rápidamente.

6. Control de acceso y políticas de seguridad ✔️

  • Acceso basado en roles (RBAC): Implementa control de acceso basado en roles para limitar el acceso de los usuarios a los recursos estrictamente necesarios.
  • Políticas de seguridad: Desarrolla e implementa políticas de seguridad claras que incluyan capacitación regular para el personal sobre las mejores prácticas y las amenazas de seguridad actuales.

7. Auditoría y cumplimiento ✔️

  • Revisión de auditorías: Realiza auditorías de seguridad periódicas para identificar y corregir vulnerabilidades.
  • Cumplimiento de normativas: Asegúrate de que tu infraestructura cumpla con las normativas y estándares de seguridad aplicables a tu industria.

Implementar estas medidas puede significativamente reducir el riesgo de ser víctima de un ataque de Ransomware Mallox en servidores MS-SQL. La seguridad debe ser un proceso continuo, ajustando y mejorando las prácticas según evoluciona el panorama de amenazas.

La necesidad de una vigilancia continua

El aumento del Ransomware Mallox y su evolución en tácticas subraya la necesidas de una vigilancia continua y de la implementación de medidas de ciberseguridad robustas. Las organizaciones deben asegurar sus servidores MS-SQL, mantenerse alerta a nuevas técnicas de acceso inicial como los archivos maliciosos de OneNote y emplear herramientas avanzadas de detección y respuesta para mitigar el riesgo de ataques de Ransomware. Solo a través de una preparación proactiva y una respuesta rápida se puede enfrentar eficazmente la amenaza creciente del Ransomware Mallox.

¿Te gustaría tener actualizaciones constantes sobre ciberseguridad? Sígueme en LinkedIn.

Otros artículos