I ricercatori di Unit 42, il threat intelligence team di Palo Alto Networks, hanno individuato due nuove minacce IT in grado di colpire numerosi target in tutto il mondo. La prima, Mallox (alias TargetCompany, Fargo e Tohnichi), è un esemplare di ransomware che prende di mira i sistemi Windows di Microsoft (MS). È attivo da giugno 2021 e si distingue per aver sfruttato server MS-SQL non sicuri come vettore di accesso per compromettere le reti delle vittime.
Nel corso del 2023, i ricercatori di Unit 42, hanno osservato un’impennata delle attività di questo ransomware – con un aumento di quasi il 174% rispetto all’anno precedente. Inoltre, sono stati riscontrati dettagli che indicano come il gruppo stia lavorando per ampliare le proprie operazioni e reclutare affiliati sui forum di hacking.
Come molti altri attori di minacce ransomware, Mallox segue il trend della doppia estorsione: ruba i dati prima di crittografarli, minacciando poi l’azienda di pubblicarli su un sito di data leak per convincerla a pagare il riscatto. Il gruppo ha colpito centinaia di realtà: il numero effettivo non è ancora noto, ma la telemetria di Unit 42 indica decine e decine di potenziali vittime in tutto il mondo, in diversi settori, tra cui manifatturiero, servizi professionali e legali e retail.
Sin dalla sua creazione, nel 2021, il gruppo Mallox ha mantenuto lo stesso approccio per ottenere accesso iniziale: colpisce server MS-SQL non sicuri per infiltrarsi in una rete, con un attacco dictionary brute force, provando un elenco di password conosciute o comunemente utilizzate contro i server. Dopo aver ottenuto l’accesso, i cybercriminali utilizzano riga di comando e PowerShell per scaricare il payload del ransomware Mallox da un server remoto.
Ma le scoperte non finiscono qui: infatti l’11 luglio scorso, i ricercatori cloud di Unit 42 hanno individuato anche un nuovo worm peer-to-peer (P2P), nominato P2PInfect. Scritto in Rust, un linguaggio di programmazione altamente scalabile e adatto al cloud, questo worm è in grado di infettare più piattaforme e prende di mira Redis, una popolare applicazione di database open-source molto utilizzata negli ambienti cloud. Le istanze di Redis possono essere eseguite sia su sistemi operativi Linux che Windows e nelle ultime due settimane, i ricercatori hanno identificato oltre 307.000 sistemi Redis unici che comunicano pubblicamente, di cui 934 potrebbero essere vulnerabili a questa variante di worm.
P2PInfect infetta le istanze Redis a rischio, sfruttando la vulnerabilità Lua sandbox escape, CVE-2022-0543: il fatto che sfrutti server in esecuzione lo rende più scalabile e potente rispetto ad altri worm, rappresentando un esempio di potenziale attacco grave. P2PInfect sfrutta la vulnerabilità per ottenere il primo accesso e rilascia un payload iniziale che stabilisce una comunicazione P2P con una rete P2P più estesa. Una volta stabilita la connessione, il worm scarica altri file binari dannosi, come script specifici per il sistema operativo e software di scansione. L’istanza infetta si unisce quindi alla rete P2P per fornire agli altri payload accesso alle future istanze Redis compromesse.