▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Mallox e P2PInfect: attenti a quei due

Un ransomware e un worm P2P preoccupano i ricercatori di Unit 42, che hanno notato picchi nelle attività criminali.

Business Vulnerabilità

Un ransomware e un worm sono le due nuove minacce da cui bisogna guardarsi le spalle, a prescindere dal Paese e dal settore in cui si opera. A mettere in guardia sono gli esperti della Unit 42 di Palo Alto, che hanno messo a fuoco le attività di Mallox e P2PInfect. Il primo è un ransomware noto da tempo, che però ha incrementato l’attività nelle ultime settimane. L’altro è un worm peer-to-peer in grado di infezioni multipiattaforma.

Il ransomware

Partiamo da Mallox, noto anche con i nomi di TargetCompany, Fargo e Tohnichi. È in circolazione da giugno 2021, viene usato per attaccare i sistemi Windows e tipicamente abusa dei server MS-SQL non sicuri come vettori di accesso per compromettere le reti target, scatenando prima attacchi brute force per forzare le password e poi usando comandi PowerShell per scaricare il payload del ransomware da un server remoto.

I motivi per i quali sale ora agni onori delle cronache sono una impennata delle attività del 174% nel 2023 e la volontà di accrescerle ulteriormente data dalla ricerca di nuovi affiliati tramite i forum di hacking. Il numero delle vittime di questo gruppo è ancora ignoto, si sa che sono molte, disseminate in tutto il mondo, in diversi settori tra cui manifatturiero, servizi professionali e legali e retail. Il gruppo applica l’ormai nota e diffusa tecnica della doppia estorsione.


I tentativi di attacco con Mallox registrati dalla telemetria di Palo Alto Networks nel priodo fra la seconda metà del 2022 e la prima metà del 2023

Il worm

Unit 42 ha anche scoperto il worm P2PInfect scritto in Rust, un linguaggio di programmazione altamente scalabile e adatto al cloud. Fra le piattaforme che ha preso di mira spicca Redis, una popolare applicazione di database open-source molto utilizzata negli ambienti cloud. Le istanze di Redis possono essere eseguite sia su sistemi operativi Linux che Windows. Di recente i ricercatori hanno identificato oltre 307.000 sistemi Redis unici che comunicano pubblicamente, di cui 934 potrebbero essere vulnerabili a questa variante di worm.

Le istanze di Redis a rischio vengono infettate dal worm mediante lo sfruttamento della vulnerabilità Lua sandbox escape (monitorata con la sigla CVE-2022-0543) per ottenere il primo accesso e rilasciare un payload che stabilisce una comunicazione P2P con gli attaccanti. A questo punto il worm scarica altri file binari dannosi, come script specifici per il sistema operativo e software di scansione e si unisce alla rete P2P per fornire agli altri payload accesso alle future istanze Redis compromesse.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici
Tags: ransomware windows palo alto networks linux Unit42 worm mallox

Notizie correlate

ConfSec 2025: a Bari la cybersecurity è di casa

Lancio ufficiale per lo European Vulnerability Database

Tagli di Washington: affossato il programma CVE.

SimpleCyb, la cybersecurity “made in Parma”

La cybersecurity hardware non è in declino

Aruba con la Polizia di Stato contro il cybercrime

Sangfor Technologies lancia il suo XDR

Var Group brinda ai 10 anni del SOC Yarix: “Con l’AI tempi di risposta ridotti del 40%”

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025
SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025
Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025
Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

G11 Media Networks

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del 11/10/2007- Iscrizione ROC n. 15698

G11 MEDIA S.R.L. Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132 Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

www.securityopenlab.it - 8.3.21 - 4.6.1