Mallox (también conocido como TargetCompany, FARGO y Tohnichi) es una cepa de ransomware que se dirige a los sistemas Windows de Microsoft (MS, Microsoft Windows). Si bien ha estado activo desde junio de 2021 y se destaca por explotar servidores MS-SQL no seguros como un vector de penetración para comprometer las redes de las víctimas, recientemente, los investigadores de Unit 42 han observado un repunte de las actividades del ransomware Mallox, con un aumento de casi el 174% en comparación con el año anterior, explotando servidores MS-SQL para distribuir el ransomware.

Como muchos otros actores de amenazas de ransomware, esta cepa sigue la tendencia de la doble extorsión: robar datos antes de cifrar los archivos de una organización y luego amenazar con publicar los datos robados en un sitio de fuga como palanca para convencer a las víctimas de que paguen la tarifa del rescate; asimismo, cada víctima recibe una clave privada para interactuar con el grupo y negociar los términos y el pago. La siguiente imagen presenta el chat utilizado para comunicarse con el grupo:

Si bien se desconoce el número real de víctimas, nuestra telemetría indica docenas de víctimas potenciales en todo el mundo, en múltiples industrias, incluidas la fabricación, los servicios profesionales y legales, y la venta al por mayor y al por menor.

De acuerdo con uno de sus integrantes,[1] Mallox es un grupo relativamente pequeño y cerrado. Sin embargo, este parece estar trabajando para expandir sus operaciones reclutando afiliados, pues en enero de este año un usuario llamado Mallx publicó en el foro de piratería RAMP que el grupo de ransomware Mallox estaba reclutando afiliados para un nuevo programa de afiliados de ransomware-as-a-service (RaaS) de Mallox.

Las organizaciones deben implementar las mejores prácticas de seguridad y estar preparadas para defenderse contra la amenaza continua del ransomware. Esto es cierto no solo para el ransomware Mallox, sino también para otros grupos criminales oportunistas. Los clientes de Palo Alto Networks reciben protección contra el ransomware Mallox y las técnicas analizadas en este blog a través de Cortex XDR, que proporciona una defensa multicapa que incluye protección contra amenazas de comportamiento y protección contra vulnerabilidades. El informe completo de la actividad de Mallox Ransomware de Unit 42 está disponible aquí.

[1] https://www.suspectfile.com/interview-with-mallox-ransomware-group/