ΑρχικήSecurityΤο Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης

Το Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης

Μια νέα παραλλαγή του Mallox ransomware, επίσης γνωστή ως “Target Company” ransomware, υιοθετεί μια μοναδική μέθοδο προσάρτησης του ονόματος της εταιρείας-στόχου ως επέκταση αρχείου για να κρυπτογραφήσει τα αρχεία και να εξαπολύσει την επίθεση ransomware.

Δείτε επίσης: ΗΠΑ: 33χρονος άνδρας κατηγορείται για τη διαχείριση του darknet drug market Monopoly

Η απειλή Mallox διανέμει ransomware μέσω ενός προγράμματος λήψης που επισυνάπτεται σε spam emails , στοχεύοντας σε μη ασφαλείς servers Microsoft SQL με πρόσβαση στο διαδίκτυο.

Το Mallox ransomware κρυπτογραφεί αρχεία σε μολυσμένα μηχανήματα και συνήθως προσθέτει μια επέκταση “.Mallox” στα προσβεβλημένα αρχεία.

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV7 hours ago

Το Mallox απευθύνεται σε κλάδους όπως η μεταποίηση, η ενέργεια και οι υπηρεσίες κοινής ωφέλειας, η πληροφορική και οι υπηρεσίες πληροφορικής, καθώς και οι επαγγελματικές υπηρεσίες.

Δείτε επίσης: Η MCMC προειδοποιεί για το malware mobile app “Pink WhatsApp”

Πως πραγματοποιείται η επίθεση;

Το ransomware Mallox ξεκινά την επίθεση μέσω ενός κακόβουλου συνημμένου αρχείου, το οποίο μπορεί είτε να είναι ένα εκτελέσιμο αρχείο που κατεβάζει το Bat Loader από έναν remote server, είτε να το περιέχει απευθείας.

Η νέα παραλλαγή δεν χρειάζεται ένα πρόγραμμα λήψης για να ανακτήσει το ωφέλιμο φορτίο του ransomware από έναν remote server- αντίθετα, ο bat loader θα παραδοθεί απευθείας μέσω του συνημμένου σε ένα phishing email.

Αντ’ αυτού, το ωφέλιμο φορτίο του ransomware περιέχεται σε ένα batch script το οποίο στη συνέχεια εισάγεται στο “MSBuild.exe” χωρίς να αποθηκευτεί στο δίσκο.

Mallox ransomware

Μόλις ο χρήστης κάνει κλικ στο συνημμένο, οι διάφορες μεταβλητές που ορίζονται σε τυχαίες ακολουθίες στο batch script file θα συνδυαστούν μέσω concatenation για την εκτέλεση εντολών.

Δεύτερον, εκτελείται το κωδικοποιημένο με Base64 περιεχόμενο που παρέχεται ως παράμετρος για να εξαχθεί το ωφέλιμο φορτίο του ransomware από το BatLoader.

Το script επιτυγχάνει αυτήν την εξαγωγή σαρώνοντας τον αρχικό BatLoader και προσδιορίζοντας τις γραμμές με το substring “ck”. Όταν βρεθεί μια γραμμή με “ck”, η δέσμη ενεργειών προσαρτά τη δευτερεύουσα συμβολοσειρά που ακολουθεί το “ck” σε ένα αντικείμενο χρησιμοποιώντας τη μέθοδο Append.

Αυτό το PowerShell script κάνει επίσης drop ένα batch script με το όνομα “killerrr.bat” στον κατάλογο %TEMP%, το οποίο μπορεί να εκτελέσει τις ακόλουθες λειτουργίες:

  • Σκότωσε περισσότερες από 600 διεργασίες χρησιμοποιώντας την εντολή taskkill /IM.
  • Διέκοψε περισσότερες από 200 υπηρεσίες χρησιμοποιώντας την εντολή net stop.
  • Απενεργοποιήσε περισσότερες από 13 υπηρεσίες χρησιμοποιώντας το sc config Service_Name start= disabled power.
  • Διέγραψε περισσότερες από 200 υπηρεσίες χρησιμοποιώντας την εντολή sc delete.
  • Αφαιρεί 2 directories “C:\Program Files (x86)\Kingdee\K3ERP\K3Express\KDHRAPP\client\log” και “C:\Program Files\Kingdee\K3ERP\K3Express\Logs”

Τέλος, το ransomware binary εισάγεται στο MSBuild.exe μέσω αυτού του PowerShell script της. Εδώ είναι οι σημειώσεις του ransomware, στις οποίες οι επιτιθέμενοι έχουν παράσχει λεπτομέρειες σχετικά με τα στοιχεία επικοινωνίας και την απαίτηση λύτρων για την αποκρυπτογράφηση των αρχείων.

Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης

Το ransomware Mallox αποκάλυψε δημοσίως λεπτομέρειες για πάνω από 20 θύματα από περισσότερες από 15 χώρες, με την Ινδία να είναι το έθνος που αποτέλεσε τον μεγαλύτερο στόχο, ακολουθούμενο από τις Ηνωμένες Πολιτείες, σύμφωνα με την Cyble Researchers.

Πηγή πληροφοριών: gbhackers.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS