Redazione RHC : 3 Maggio 2024 07:36
Gli esperti di sicurezza informatica dell’ASEC Lab hanno identificato una serie di attacchi informatici avanzati contro i server Microsoft SQL (MS-SQL). Un gruppo di aggressori noto come TargetCompany utilizza il ransomware Mallox per crittografare i sistemi ed estorcere le vittime.
Gli attacchi del gruppo ricordano precedenti incidenti con il miner Tor2Mine e il virus BlueSky, indicando una minaccia continua alla sicurezza digitale. Il modus operandi di TargetCompany è quello di sfruttare le vulnerabilità nei server MS-SQL gestiti in modo improprio, dove gli aggressori ottengono accesso non autorizzato utilizzando attacchi di forza bruta, prendendo di mira principalmente l’account dell’amministratore di sistema.
Dopo essere penetrati nel sistema, gli aggressori installano lo strumento di accesso remoto Remcos RAT, che consente loro di controllare completamente l’host infetto. Va notato che Remcos RAT, è uno strumento originariamente progettato per il controllo remoto legittimo, ma da tempo adattato per attività dannose. Gli attacchi hanno utilizzato una versione semplificata di Remcos, indicando il desiderio degli aggressori di un controllo remoto più fluido senza attirare l’attenzione.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dopo l’infezione iniziale, gli aggressori distribuiscono anche il proprio malware di controllo remoto, seguito dal ransomware Mallox. Questo virus, che prende di mira i server MS-SQL, utilizza algoritmi di crittografia AES-256 e SHA-256, aggiungendo l’estensione “.rmallox” ai file crittografati. Mallox evita di crittografare determinati percorsi ed estensioni di file, concentrando solo dati potenzialmente preziosi.
I modelli di attacco osservati in questa campagna sono sorprendentemente simili ai precedenti incidenti di TargetCompany, che hanno consentito agli esperti ASEC di attribuire queste azioni dannose ai membri di questo gruppo.
Gli amministratori dei server MS-SQL sono fortemente incoraggiati a implementare policy rigorose per le password, aggiornare regolarmente i propri sistemi e utilizzare soluzioni di sicurezza complete per prevenire tali minacce.
Poiché il panorama digitale continua ad evolversi, così come la natura delle minacce informatiche, la necessità di vigilanza e misure di sicurezza proattive per proteggersi dagli attacchi ransomware rimane elevata.
RedazioneLa scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
