Cyberthreat.id - Aktivitas ransomware Mallox pada 2023 meningkat 174% jika dibandingkan dengan tahun sebelumnya. Demikian temuan terbaru Palo Alto Networks Unit 42 sebagaimana dipublis The Hacker News.

"Mallox ransomware, seperti banyak aktor ancaman ransomware lainnya, mengikuti tren pemerasan ganda: mencuri data sebelum mengenkripsi file organisasi, dan kemudian mengancam untuk mempublikasikan data yang dicuri di situs kebocoran sebagai pengungkit untuk meyakinkan korban membayar biaya tebusan," peneliti keamanan Lior Rochberger dan Shimi Cohen mengatakan dalam sebuah laporan baru yang dibagikan kepada The Hacker News.

Mallox terkait dengan pelaku ancaman yang juga terkait dengan jenis ransomware lainnya, seperti TargetCompany, Tohnichi, Fargo, dan, yang terbaru, Xollam. Ini pertama kali muncul pada Juni 2021.

Beberapa sektor unggulan yang menjadi target Mallox adalah manufaktur, layanan profesional dan legal, serta grosir dan eceran.

Aspek penting dari grup ini adalah pola mengeksploitasi server MS-SQL yang kurang aman melalui serangan kamus sebagai vektor penetrasi untuk mengkompromikan jaringan korban.

Xollam adalah penyimpangan dari norma karena telah diamati menggunakan lampiran file OneNote berbahaya untuk akses awal, sebagaimana dirinci oleh Trend Micro bulan lalu.

Setelah mendapatkan pijakan yang berhasil pada host yang terinfeksi, perintah PowerShell dijalankan untuk mengambil muatan ransomware dari server jarak jauh.

Biner, pada bagiannya, mencoba untuk menghentikan dan menghapus layanan terkait SQL, menghapus salinan bayangan volume, menghapus log peristiwa sistem, menghentikan proses terkait keamanan, dan melewati Raccine, alat sumber terbuka yang dirancang untuk melawan serangan ransomware, sebelum memulai proses enkripsi, setelah itu catatan tebusan dijatuhkan di setiap direktori.

TargetCompany tetap merupakan grup kecil dan tertutup, tetapi juga telah diamati merekrut afiliasi untuk program afiliasi Mallox ransomware-as-a-service (RaaS) di forum kejahatan dunia maya RAMP.

Perkembangan tersebut terjadi karena ransomware terus menjadi skema keuangan yang menguntungkan, penjahat dunia maya menjaring tidak kurang dari $449,1 juta pada paruh pertama tahun 2023 saja, menurut Chainalysis.

Lonjakan tiba-tiba infeksi Mallox juga merupakan gejala dari tren yang lebih luas di mana serangan ransomware melonjak 221% dari tahun ke tahun pada Juni 2023, dengan 434 serangan dilaporkan pada Juni 2023 saja, sebagian besar didorong oleh eksploitasi file MOVEit oleh Cl0p mentransfer kerentanan perangkat lunak.

"Grup ransomware Mallox telah lebih aktif dalam beberapa bulan terakhir, dan upaya perekrutan baru-baru ini memungkinkan mereka menyerang lebih banyak organisasi jika upaya perekrutan berhasil," kata para peneliti.[]