Μια νέα παραλλαγή του Mallox ransomware, επίσης γνωστή ως “Target Company” ransomware, υιοθετεί μια μοναδική μέθοδο προσάρτησης του ονόματος της εταιρείας-στόχου ως επέκταση αρχείου για να κρυπτογραφήσει τα αρχεία και να εξαπολύσει την επίθεση ransomware.
Δείτε επίσης: ΗΠΑ: 33χρονος άνδρας κατηγορείται για τη διαχείριση του darknet drug market Monopoly
Η απειλή Mallox διανέμει ransomware μέσω ενός προγράμματος λήψης που επισυνάπτεται σε spam emails , στοχεύοντας σε μη ασφαλείς servers Microsoft SQL με πρόσβαση στο διαδίκτυο.
Το Mallox ransomware κρυπτογραφεί αρχεία σε μολυσμένα μηχανήματα και συνήθως προσθέτει μια επέκταση “.Mallox” στα προσβεβλημένα αρχεία.
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Το Mallox απευθύνεται σε κλάδους όπως η μεταποίηση, η ενέργεια και οι υπηρεσίες κοινής ωφέλειας, η πληροφορική και οι υπηρεσίες πληροφορικής, καθώς και οι επαγγελματικές υπηρεσίες.
Δείτε επίσης: Η MCMC προειδοποιεί για το malware mobile app “Pink WhatsApp”
Πως πραγματοποιείται η επίθεση;
Το ransomware Mallox ξεκινά την επίθεση μέσω ενός κακόβουλου συνημμένου αρχείου, το οποίο μπορεί είτε να είναι ένα εκτελέσιμο αρχείο που κατεβάζει το Bat Loader από έναν remote server, είτε να το περιέχει απευθείας.
Η νέα παραλλαγή δεν χρειάζεται ένα πρόγραμμα λήψης για να ανακτήσει το ωφέλιμο φορτίο του ransomware από έναν remote server- αντίθετα, ο bat loader θα παραδοθεί απευθείας μέσω του συνημμένου σε ένα phishing email.
Αντ’ αυτού, το ωφέλιμο φορτίο του ransomware περιέχεται σε ένα batch script το οποίο στη συνέχεια εισάγεται στο “MSBuild.exe” χωρίς να αποθηκευτεί στο δίσκο.
Μόλις ο χρήστης κάνει κλικ στο συνημμένο, οι διάφορες μεταβλητές που ορίζονται σε τυχαίες ακολουθίες στο batch script file θα συνδυαστούν μέσω concatenation για την εκτέλεση εντολών.
Δεύτερον, εκτελείται το κωδικοποιημένο με Base64 περιεχόμενο που παρέχεται ως παράμετρος για να εξαχθεί το ωφέλιμο φορτίο του ransomware από το BatLoader.
Το script επιτυγχάνει αυτήν την εξαγωγή σαρώνοντας τον αρχικό BatLoader και προσδιορίζοντας τις γραμμές με το substring “ck”. Όταν βρεθεί μια γραμμή με “ck”, η δέσμη ενεργειών προσαρτά τη δευτερεύουσα συμβολοσειρά που ακολουθεί το “ck” σε ένα αντικείμενο χρησιμοποιώντας τη μέθοδο Append.
Αυτό το PowerShell script κάνει επίσης drop ένα batch script με το όνομα “killerrr.bat” στον κατάλογο %TEMP%, το οποίο μπορεί να εκτελέσει τις ακόλουθες λειτουργίες:
- Σκότωσε περισσότερες από 600 διεργασίες χρησιμοποιώντας την εντολή taskkill /IM.
- Διέκοψε περισσότερες από 200 υπηρεσίες χρησιμοποιώντας την εντολή net stop.
- Απενεργοποιήσε περισσότερες από 13 υπηρεσίες χρησιμοποιώντας το sc config Service_Name start= disabled power.
- Διέγραψε περισσότερες από 200 υπηρεσίες χρησιμοποιώντας την εντολή sc delete.
- Αφαιρεί 2 directories “C:\Program Files (x86)\Kingdee\K3ERP\K3Express\KDHRAPP\client\log” και “C:\Program Files\Kingdee\K3ERP\K3Express\Logs”
Τέλος, το ransomware binary εισάγεται στο MSBuild.exe μέσω αυτού του PowerShell script της. Εδώ είναι οι σημειώσεις του ransomware, στις οποίες οι επιτιθέμενοι έχουν παράσχει λεπτομέρειες σχετικά με τα στοιχεία επικοινωνίας και την απαίτηση λύτρων για την αποκρυπτογράφηση των αρχείων.
Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης
Το ransomware Mallox αποκάλυψε δημοσίως λεπτομέρειες για πάνω από 20 θύματα από περισσότερες από 15 χώρες, με την Ινδία να είναι το έθνος που αποτέλεσε τον μεγαλύτερο στόχο, ακολουθούμενο από τις Ηνωμένες Πολιτείες, σύμφωνα με την Cyble Researchers.
Πηγή πληροφοριών: gbhackers.com