MS-SQL под прицелом: TargetCompany атакует серверы вирусом-вымогателем Mallox

Эксперты в области кибербезопасности из лаборатории ASEC выявили серию продвинутых кибератак, направленных на серверы Microsoft SQL (MS-SQL). Группа злоумышленников, известная как TargetCompany, использует вирус-вымогатель Mallox для шифрования систем и вымогательства у жертв.

Атаки группировки напоминают предыдущие инциденты с использованием майнера Tor2Mine и вируса BlueSky, что свидетельствует о неутихающей угрозе для цифровой безопасности. Методы действий TargetCompany заключаются в эксплуатации уязвимостей на ненадлежаще управляемых серверах MS-SQL, где злоумышленники получают несанкционированный доступ, используя атаки по словарю и атаки методом перебора, нацеливаясь в первую очередь на аккаунт системного администратора.

После проникновения в систему, злоумышленники устанавливают инструмент удалённого доступа Remcos RAT, что позволяет им полностью контролировать заражённый хост. Следует отметить, что Remcos RAT, инструмент, изначально предназначенный для легитимного удалённого управления, давно был адаптирован для злонамеренных действий. В атаках использовалась упрощённая версия Remcos, что указывает на стремление злоумышленников к более гладкому удалённому управлению без привлечения внимания.

После первоначального заражения злоумышленники также развёртывают свою собственную вредоносную программу для удалённого управления, а затем — вирус-вымогатель Mallox. Этот вирус, нацеленный на серверы MS-SQL, использует алгоритмы шифрования AES-256 и SHA-256, добавляя к зашифрованным файлам расширение «.rmallox». Mallox избегает шифрования определённых путей и расширений файлов, сосредоточиваясь только потенциально ценных данных.

Паттерны атак, наблюдаемые в этой кампании, поразительно напоминают предыдущие инциденты TargetCompany, что и позволило экспертам ASEC отнести данные вредоносные действия к участникам этой группы.

Администраторам серверов MS-SQL настоятельно рекомендуется применять строгие политики паролей, регулярно обновлять свои системы и использовать комплексные решения безопасности для предотвращения подобных угроз.

С учётом того, что цифровой ландшафт продолжает развиваться, так же как и характер киберугроз, актуальность бдительности и проактивных мер безопасности в защите от атак вирусов-вымогателей всё ещё остаётся высокой.