La reciente y rápida proliferación, así como el aumento de la sofisticación del ransomware Mallox señalan la urgente necesidad de que las empresas refuercen sus defensas, protegiendo sus activos digitales y mitigando los riesgos. Para hacer frente a esta necesidad, Kaspersky ha publicado el informe ‘Ransomware Mallox: análisis en profundidad y evolución’, que documenta su transformación de un malware operado de forma privada a una operación de ransomware como servicio (RaaS) a gran escala.
El informe destaca el impacto significativo de Mallox desde su aparición inicial, a principios de 2021. Mallox, que originalmente era un ransomware muy dirigido y operado por humanos, causó graves daños a organizaciones de todo el mundo. La investigación de Kaspersky detalla cómo esta amenaza, que antes era aislada, ha evolucionado rápidamente, con más de 700 nuevas muestras identificadas desde 2021 hasta mediados de 2024. Este aumento en la actividad se atribuye en gran parte a la transición de Mallox a un modelo RaaS, lo que le ha permitido expandirse agresivamente al reclutar afiliados y partners a través de un foro en la dark web.
Página de inicio de filtración de datos de Mallox
En enero de 2023, los operadores de Mallox lanzaron un sólido programa de afiliados RaaS, buscando activamente “pentesters” cualificados para ampliar su alcance, ofreciendo lucrativos repartos de ganancias. En este sentido, el programa ha atraído a una gran cantidad de ciberdelincuentes, lo que ha contribuido a un notable aumento en los ataques relacionados con Mallox. El informe profundiza además en los avances en los esquemas de cifrado de Mallox, que se han vuelto cada vez más sofisticados. El análisis de Kaspersky sobre estas técnicas criptográficas subraya la continua innovación de sus desarrolladores para mejorar la eficacia del ransomware.
Asimismo, el análisis arroja luz sobre su expansión global, enfocándose en sus vectores de infección preferidos. Concretamente, los atacantes suelen explotar vulnerabilidades en servidores MS SQL y PostgreSQL, lo que demuestra su adaptabilidad y amenaza para una amplia gama de sectores. Este análisis en profundidad sirve como un recurso esencial para los profesionales de ciberseguridad, ofreciendo información crítica sobre la naturaleza y evolución de este ransomware.
Mallox ha demostrado una especial preferencia por atacar determinadas regiones. Brasil, Vietnam, China, Arabia Saudita e India han surgido como los países más atacados. Aunque España, Rusia, Colombia, Estados Unidos y México han experimentado menos ataques, siguen siendo vulnerables a la amenaza del ransomware. “Comprender el ransomware Mallox, su evolución, características y potencial, permite a las organizaciones fortalecer sus defensas. Con las medidas de seguridad adecuadas, las empresas no solo pueden proteger sus activos digitales, sino también disminuir el riesgo de convertirse en el próximo objetivo de esta formidable amenaza”, comenta el experto en seguridad de Kaspersky Fedor Sinitsyn.
Para maximizar la seguridad de una empresa, Kaspersky recomienda:
- No expongas los servicios de escritorio remoto, como RDP, a redes públicas a menos que sea absolutamente necesario, y utiliza siempre contraseñas seguras.
- Asegúrate de que tu VPN comercial y otras soluciones de software del lado del servidor estén siempre actualizadas, ya que la explotación de este tipo de software es un vector común de infección por ransomware. Mantés siempre actualizadas las aplicaciones del cliente.
- Centra tu estrategia de defensa en detectar movimientos laterales y la exfiltración de datos a Internet. Presta especial atención al tráfico saliente para detectar conexiones con ciberdelincuentes. Haz copias de seguridad de los datos con regularidad y asegúrate de poder acceder a ellos rápidamente en caso de emergencia. Además, utiliza la información más reciente Threat Intelligence para mantenerse al tanto de las últimas TTP utilizadas por los actores de amenazas.
- Utiliza Managed Detection and Response para ayudar a identificar y detener un ataque en las primeras etapas, antes de que los atacantes logren sus objetivos finales.
- Para proteger el entorno corporativo, forma a tus empleados. Los cursos de formación dedicados pueden ayudar, como los que se ofrecen en Kaspersky Automated Security Awareness Platform.
- Usa soluciones de seguridad complejas, que combinen protección de endpoints y funcionalidades automatizadas de respuesta a incidentes, como Kaspersky NEXT.
