脅威アドバイザリ：Malloxランサムウェアがセキュリティ保護されていないMSSQLサーバーを攻撃

2023年XNUMX月以降、ファイルを暗号化するために「.malox」ファイル拡張子を付加するランサムウェアインシデントの急増が確認されています。このランサムウェアは、Mallox（別名TargetCompany）ランサムウェアファミリーの亜種であることが確認されています。

「File Recovery.txt」というラベルの付いたランサムウェアのメモが攻撃中にドロップされます。このメモには、攻撃者と復号するためのOnionリンクが記載されています。

TORブラウザを起動し、次のサイトを開きます: wtyafjyhwqrgo4a45wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/mallox/privateSignin

私たちの研究によると、 Mallox（別名TargetCompany）ランサムウェア 攻撃者は、セキュリティ保護されていないMicrosoft SQL Serverを攻撃ベクトルとして標的とし、被害者のシステムに侵入してランサムウェアを拡散します。さらに、攻撃者は公開されているMSSQLインスタンスに対してブルートフォース攻撃を仕掛け、被害者のネットワークへの初期アクセスを取得します。

MSSQLServer環境において、主に「sqlservr.exe」に関連する不審なコマンドラインアクティビティを発見しました。これらの調査結果に基づき、潜在的な脅威に対する保護を強化するため、お客様にセキュリティのベストプラクティスを遵守していただくよう強く推奨いたします。

セキュリティ Microsoft SQL サーバー Malloxランサムウェア攻撃を防ぐには、インスタンスのセキュリティ強化が不可欠です。SQL Server環境のセキュリティを強化するには、以下の推奨手順に従ってください。

1. ファイアウォール保護/アクセス制限: ファイアウォールを活用してSQLサーバーへのアクセスを制限します。信頼できるネットワークとIPからの受信トラフィックのみを許可します。具体的には、承認されたユーザーを除き、ポート1433の受信トラフィックをブロックします。
2. デフォルトポートの変更: SQL Serverをデフォルトポート（1433）でインターネット上に公開することは避けてください。ハッカーの標的になりやすいからです。SQL Serverへのリモートアクセスには、VPNなどの安全な接続の使用を検討してください。
3. 安全なアカウント管理: 不正アクセスのリスクを最小限に抑えるため、「sa」（システム管理者）アカウントを無効にするか、強力で固有のパスワードを設定してください。saアカウントは高い権限を持っています。
4. 強力なパスワード: すべてのSQLログインに、強力で一意のパスワードを強制します。大文字、小文字、数字、特殊文字を使用して、パスワードのセキュリティを強化します。
5. アカウントロックアウトポリシー: 複数回のログイン試行に失敗した場合にSQL Serverログインを一時的にロックアウトするアカウントロックアウトポリシーを実装します。これにより、ブルートフォース攻撃を抑止できます。
6. SQL CLR アセンブリを監査する: 不要なSQL CLRアセンブリを確認し、非アクティブ化します。潜在的な脆弱性を軽減するため、冗長なアセンブリを定期的に評価し、削除します。
7. 転送中のデータを暗号化: SSL/TLSプロトコルを使用して、クライアントとSQLサーバー間のデータ転送を暗号化します。これにより、盗聴やデータ傍受の可能性を防止できます。
8. SQL Server のアクティビティに注目してください: SQL Server 監査機能を活用することで、SQL Server インスタンス内のすべての操作を綿密に追跡し、ログに記録できます。これらのアクティビティを積極的に監視することで、潜在的なセキュリティリスクを迅速に検出し、対処できます。
9. 最新情報を入手： SQL Server インスタンス、オペレーティングシステム、およびその他のインストール済みアプリケーションに最新の更新プログラムとパッチを定期的に適用してください。これにより、既知の脆弱性を軽減し、継続的なセキュリティを確保できます。

ランサムウェアインシデント発生時の共有データへの影響

多くのランサムウェア攻撃において、ネットワーク上の共有ファイルも影響を受けるという状況が繰り返し発生しています。セキュリティソフトウェアが個々のコンピュータを保護しているとしても、共有データを通じてファイルが変更される可能性は依然として大きな懸念事項です。

ネットワーク内での共有データの損害を最小限に抑えるための予防措置:

1. 共有フォルダへのアクセスの制限: ネットワーク分離機能を使用することで、共有フォルダへのアクセスを必要なユーザーのみに制限できます。強力なアクセス制御を適用することで、ネットワーク上の共有データへの変更を、許可されたユーザーのみが行えるようにします。
2. 定期的なデータバックアップ: 共有データは、安全で隔離された場所に継続的にバックアップしてください。定期的にバックアップをテストし、データの整合性を検証し、攻撃発生時に迅速なデータ復旧プロセスを確保してください。
3. スケジュールされたオフライン バックアップ: ライブ/オンライン バックアップの暗号化を試みる可能性のあるランサムウェア攻撃から保護するために、重要な共有データのオフライン バックアップを維持します。

これらの予防措置を遵守することで、Microsoft SQL Server インスタンスを標的とした Mallox ランサムウェア攻撃のリスクを大幅に軽減し、環境全体のセキュリティ体制を強化することができます。

Quick Heal/SEQRITE Malloxランサムウェアから顧客を守る？

クイックヒール/SEQRITE ウイルス対策ソフトは、攻撃に使用された様々なスクリプトファイルやランサムウェアのペイロードに対するシグネチャを保有しています。以下に、このランサムウェアに対するシグネチャを示します。

• マロックス.S28994722
• ダウンローダー.Boxter.47436
• エージェント.CQ
• トロイの木馬ダウンローダー.A8341828
• スクリプト.トロイの木馬.A8269601