Table of Contents
Introduction
Le paysage de la cybersécurité est de plus en plus marqué par la montée en puissance des ransomwares, ces logiciels malveillants qui chiffrent les données des entreprises et exigent une rançon pour leur décryptage. Parmi ces menaces, Mallox s’est distingué par son approche particulièrement agressive, ciblant spécifiquement les serveurs MS-SQL vulnérables. Le ransomware Mallox est souvent associé à un groupe de hackers appelé TargetCompany. Cet article propose une analyse du mode opératoire de Mallox, les impacts potentiels d’une attaque, et les mesures de défense recommandées pour se protéger contre cette menace.
Mode Opératoire de Mallox
Depuis son apparition en 2021, Mallox a développé une méthode d’attaque relativement simple mais terriblement efficace. L’infiltration commence généralement par des attaques par force brute visant les serveurs MS-SQL mal sécurisés. Les attaquants utilisent des listes de mots de passe communs pour tenter de pénétrer ces systèmes, souvent exposés au public via Internet (SentinelOne, LIVEcommunity | Palo Alto Networks).
Une fois l’accès obtenu, les cybercriminels déploient des scripts PowerShell pour télécharger et exécuter le ransomware depuis un serveur distant. Mallox est capable de désactiver les services de sécurité comme Windows Defender, de supprimer les copies de sauvegarde (shadow copies) et de bloquer les outils de récupération système. Cette approche garantit que les victimes ne puissent pas récupérer facilement leurs fichiers chiffrés (SANGFOR,Unit 42).
Le chiffrement des fichiers est réalisé avec les algorithmes ChaCha20, Curve 25519, et AES-128, qui sont tous reconnus pour leur robustesse et leur efficacité en matière de sécurité des données. Ces algorithmes sont utilisés pour garantir que les fichiers chiffrés sont extrêmement difficiles à déchiffrer sans la clé appropriée, renforçant ainsi la position de force des attaquants lors des demandes de rançon (Cyberint,Unit 42).
Lors du chiffrement des données, le ransomware peut ajouter plusieurs types d’extensions aux fichiers, notamment des extensions génériques comme .mallox ou .malox. Cependant, dans de nombreux cas, Mallox utilise une extension personnalisée qui incorpore le nom de l’organisation ou du domaine de la victime. Cette stratégie permet non seulement de rendre les fichiers chiffrés plus difficiles à identifier par des analyses automatiques, mais aussi de renforcer l’aspect ciblé de l’attaque, augmentant ainsi la pression sur la victime pour qu’elle paie la rançon.
Après le chiffrement, une note de rançon est laissée dans chaque répertoire, expliquant comment contacter les attaquants pour obtenir les outils nécessaires à la récupération des données (Unit 42).
Impact et Conséquences
Les attaques de Mallox peuvent avoir des conséquences dévastatrices pour les organisations ciblées. En plus de la perte immédiate d’accès aux données critiques, l’effacement des sauvegardes et la désactivation des outils de récupération peuvent rendre la restauration des systèmes extrêmement compliquée et coûteuse (SANGFOR).
Les entreprises victimes se retrouvent souvent dans une situation de crise, où elles doivent choisir entre payer la rançon avec l’espoir de récupérer leurs données, ou tenter de reconstruire leurs systèmes à partir de zéro, ce qui peut prendre des semaines ou des mois et entraîner des pertes financières substantielles.
Mesures de Défense Recommandées
Face à la menace que représente Mallox, il est crucial pour les organisations de renforcer leurs défenses. Voici quelques mesures essentielles :
- Mise à Jour des Systèmes : Assurez-vous que tous les serveurs, en particulier ceux exposés à Internet, sont régulièrement mis à jour avec les derniers correctifs de sécurité. Les vulnérabilités dans les logiciels, notamment MS-SQL, doivent être corrigées immédiatement pour réduire la surface d’attaque(LIVEcommunity | Palo Alto Networks).
- Surveillance et Détection : Déployer des solutions de détection et de réponse (XDR/EDR) pour surveiller les comportements suspects sur le réseau et en mémoire. Ces outils peuvent aider à identifier les intrusions avant qu’elles n’aboutissent à un chiffrement des fichiers (Unit 42).
- Segmentation du Réseau : Limiter l’accès aux serveurs critiques et aux systèmes de sauvegarde pour empêcher une propagation rapide de l’attaque dans tout le réseau. L’utilisation de segments de réseau distincts pour les systèmes critiques peut réduire les risques en cas de compromission (LIVEcommunity | Palo Alto Networks).
- Sensibilisation et Formation : La formation des employés sur les risques liés aux cyberattaques, y compris les techniques de phishing souvent utilisées pour déployer des ransomwares, est cruciale. Une main-d’œuvre informée est une première ligne de défense importante.
Sources
SentinelOne – Mallox Resurrected | Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises
Une analyse détaillée du fonctionnement de Mallox, y compris ses méthodes d’infiltration par des attaques sur les serveurs MS-SQL vulnérables. Lire l’article complet
Sangfor Technologies – The New Threat: Mallox Ransomware
Une présentation technique des capacités de Mallox, telles que le chiffrement des fichiers et les techniques d’évasion des antivirus. Lire l’article complet
Palo Alto Networks – Threat Group Assessment: Mallox Ransomware
Un aperçu approfondi du groupe Mallox, couvrant ses techniques d’infiltration et l’utilisation d’extensions de fichiers personnalisées basées sur le nom de la victime. Lire l’article complet
Cyble – Mallox Ransomware Showing Signs Of Increased Activity
Une mise à jour récente sur l’activité croissante de Mallox et ses nouvelles stratégies d’infection, y compris l’utilisation de fichiers batch pour déployer des charges utiles. Lire l’article complet
Conclusion
Mallox représente une menace sérieuse et persistante pour les organisations du monde entier. Sa capacité à exploiter des serveurs vulnérables, à chiffrer des données critiques et à supprimer les moyens de récupération pose un défi de taille pour les entreprises. Adopter des pratiques de cybersécurité rigoureuses, comme celles mentionnées ci-dessus, est essentiel pour minimiser les risques et protéger les actifs numériques des attaques futures.
