Table of Contents
Introduction
Le paysage de la cybersĂ©curitĂ© est de plus en plus marquĂ© par la montĂ©e en puissance des ransomwares, ces logiciels malveillants qui chiffrent les donnĂ©es des entreprises et exigent une rançon pour leur dĂ©cryptage. Parmi ces menaces, Mallox s’est distinguĂ© par son approche particuliĂšrement agressive, ciblant spĂ©cifiquement les serveurs MS-SQL vulnĂ©rables. Le ransomware Mallox est souvent associĂ© Ă un groupe de hackers appelĂ© TargetCompany. Cet article propose une analyse du mode opĂ©ratoire de Mallox, les impacts potentiels d’une attaque, et les mesures de dĂ©fense recommandĂ©es pour se protĂ©ger contre cette menace.
Mode Opératoire de Mallox
Depuis son apparition en 2021, Mallox a dĂ©veloppĂ© une mĂ©thode d’attaque relativement simple mais terriblement efficace. L’infiltration commence gĂ©nĂ©ralement par des attaques par force brute visant les serveurs MS-SQL mal sĂ©curisĂ©s. Les attaquants utilisent des listes de mots de passe communs pour tenter de pĂ©nĂ©trer ces systĂšmes, souvent exposĂ©s au public via Internetâ (SentinelOne, LIVEcommunity | Palo Alto Networks).
Une fois l’accĂšs obtenu, les cybercriminels dĂ©ploient des scripts PowerShell pour tĂ©lĂ©charger et exĂ©cuter le ransomware depuis un serveur distant. Mallox est capable de dĂ©sactiver les services de sĂ©curitĂ© comme Windows Defender, de supprimer les copies de sauvegarde (shadow copies) et de bloquer les outils de rĂ©cupĂ©ration systĂšme. Cette approche garantit que les victimes ne puissent pas rĂ©cupĂ©rer facilement leurs fichiers chiffrĂ©s (SANGFOR,Unit 42).
Le chiffrement des fichiers est rĂ©alisĂ© avec les algorithmes ChaCha20, Curve 25519, et AES-128, qui sont tous reconnus pour leur robustesse et leur efficacitĂ© en matiĂšre de sĂ©curitĂ© des donnĂ©es. Ces algorithmes sont utilisĂ©s pour garantir que les fichiers chiffrĂ©s sont extrĂȘmement difficiles Ă dĂ©chiffrer sans la clĂ© appropriĂ©e, renforçant ainsi la position de force des attaquants lors des demandes de rançon â(Cyberint,Unit 42).
Lors du chiffrement des donnĂ©es, le ransomware peut ajouter plusieurs types d’extensions aux fichiers, notamment des extensions gĂ©nĂ©riques comme .mallox ou .malox. Cependant, dans de nombreux cas, Mallox utilise une extension personnalisĂ©e qui incorpore le nom de l’organisation ou du domaine de la victime. Cette stratĂ©gie permet non seulement de rendre les fichiers chiffrĂ©s plus difficiles Ă identifier par des analyses automatiques, mais aussi de renforcer l’aspect ciblĂ© de l’attaque, augmentant ainsi la pression sur la victime pour qu’elle paie la rançon.
AprĂšs le chiffrement, une note de rançon est laissĂ©e dans chaque rĂ©pertoire, expliquant comment contacter les attaquants pour obtenir les outils nĂ©cessaires Ă la rĂ©cupĂ©ration des donnĂ©es â(Unit 42).
Impact et Conséquences
Les attaques de Mallox peuvent avoir des consĂ©quences dĂ©vastatrices pour les organisations ciblĂ©es. En plus de la perte immĂ©diate d’accĂšs aux donnĂ©es critiques, l’effacement des sauvegardes et la dĂ©sactivation des outils de rĂ©cupĂ©ration peuvent rendre la restauration des systĂšmes extrĂȘmement compliquĂ©e et coĂ»teuse (SANGFOR).
Les entreprises victimes se retrouvent souvent dans une situation de crise, oĂč elles doivent choisir entre payer la rançon avec l’espoir de rĂ©cupĂ©rer leurs donnĂ©es, ou tenter de reconstruire leurs systĂšmes Ă partir de zĂ©ro, ce qui peut prendre des semaines ou des mois et entraĂźner des pertes financiĂšres substantielles.
Mesures de Défense Recommandées
Face à la menace que représente Mallox, il est crucial pour les organisations de renforcer leurs défenses. Voici quelques mesures essentielles :
- Mise Ă Jour des SystĂšmes : Assurez-vous que tous les serveurs, en particulier ceux exposĂ©s Ă Internet, sont rĂ©guliĂšrement mis Ă jour avec les derniers correctifs de sĂ©curitĂ©. Les vulnĂ©rabilitĂ©s dans les logiciels, notamment MS-SQL, doivent ĂȘtre corrigĂ©es immĂ©diatement pour rĂ©duire la surface d’attaqueâ(LIVEcommunity | Palo Alto Networks).
- Surveillance et DĂ©tection : DĂ©ployer des solutions de dĂ©tection et de rĂ©ponse (XDR/EDR) pour surveiller les comportements suspects sur le rĂ©seau et en mĂ©moire. Ces outils peuvent aider Ă identifier les intrusions avant qu’elles n’aboutissent Ă un chiffrement des fichiers (Unit 42).
- Segmentation du RĂ©seau : Limiter l’accĂšs aux serveurs critiques et aux systĂšmes de sauvegarde pour empĂȘcher une propagation rapide de l’attaque dans tout le rĂ©seau. L’utilisation de segments de rĂ©seau distincts pour les systĂšmes critiques peut rĂ©duire les risques en cas de compromission (LIVEcommunity | Palo Alto Networks).
- Sensibilisation et Formation : La formation des employĂ©s sur les risques liĂ©s aux cyberattaques, y compris les techniques de phishing souvent utilisĂ©es pour dĂ©ployer des ransomwares, est cruciale. Une main-d’Ćuvre informĂ©e est une premiĂšre ligne de dĂ©fense importante.
Sources
SentinelOne – Mallox Resurrected | Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises
Une analyse dĂ©taillĂ©e du fonctionnement de Mallox, y compris ses mĂ©thodes d’infiltration par des attaques sur les serveurs MS-SQL vulnĂ©rables. Lire l’article completâ
Sangfor Technologies – The New Threat: Mallox Ransomware
Une prĂ©sentation technique des capacitĂ©s de Mallox, telles que le chiffrement des fichiers et les techniques d’Ă©vasion des antivirus. Lire l’article completâ
Palo Alto Networks – Threat Group Assessment: Mallox Ransomware
Un aperçu approfondi du groupe Mallox, couvrant ses techniques d’infiltration et l’utilisation d’extensions de fichiers personnalisĂ©es basĂ©es sur le nom de la victime. Lire l’article completâ
Cyble – Mallox Ransomware Showing Signs Of Increased Activity
Une mise Ă jour rĂ©cente sur l’activitĂ© croissante de Mallox et ses nouvelles stratĂ©gies d’infection, y compris l’utilisation de fichiers batch pour dĂ©ployer des charges utiles. Lire l’article completâ
Conclusion
Mallox représente une menace sérieuse et persistante pour les organisations du monde entier. Sa capacité à exploiter des serveurs vulnérables, à chiffrer des données critiques et à supprimer les moyens de récupération pose un défi de taille pour les entreprises. Adopter des pratiques de cybersécurité rigoureuses, comme celles mentionnées ci-dessus, est essentiel pour minimiser les risques et protéger les actifs numériques des attaques futures.
