Um incidente recente envolvendo um honeypot MS-SQL (Microsoft SQL) lançou um alerta sobre as táticas sofisticadas empregadas por ciberatacantes que dependem do ransomware Mallox. O honeypot, foi alvo de um conjunto de intrusões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL.

Ao analisar amostras do Mallox, os pesquisadores identificaram dois afiliados distintos que empregavam abordagens diferentes. Um focava na exploração de ativos vulneráveis, enquanto o outro visava comprometer sistemas de informação em uma escala mais ampla. O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida dentro de uma hora após a implantação.

O atacante persistiu na força bruta ao longo do período de observação, indicando um esforço determinado. Foram observadas tentativas de exploração, com padrões distintos identificados. O atacante aproveitou diversas técnicas, incluindo a habilitação de parâmetros específicos, criação de assemblies e execução de comandos via xp_cmdshell e Procedimentos de Automação Ole.

Os payloads correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que subsequentemente executava o ransomware Mallox. O PureCrypter, vendido como um Malware-as-a-Service por um ator de ameaça operando sob o pseudônimo de PureCoder, emprega diversas técnicas de evasão para evitar detecção e análise. O grupo Mallox, uma operação de Ransomware-as-a-Service que distribui o ransomware homônimo, está ativo desde pelo menos junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados além de criptografá-los.