Οι δραστηριότητες του Mallox ransomware το 2023 σημείωσαν αύξηση 174% σε σύγκριση με το προηγούμενο έτος, σύμφωνα με νέα ευρήματα της Unit 42 της Palo Alto Networks.
Δείτε επίσης: Το νέο malware τύπου worm P2PInfect στοχεύει Linux και Windows Redis servers
“Το ransomware Mallox, όπως και πολλοί άλλοι απειλητικοί ransomware, ακολουθεί την τάση διπλού εκβιασμού: κλέβει δεδομένα πριν κρυπτογραφήσει τα αρχεία ενός οργανισμού και στη συνέχεια απειλεί να δημοσιεύσει τα κλεμμένα δεδομένα σε μια ιστοσελίδα διαρροής ως μοχλό πίεσης για να πείσει τα θύματα να πληρώσουν τα λύτρα“, αναφέρουν οι ερευνητές ασφαλείας Lior Rochberger και Shimi Cohen σε μια νέα έκθεση που μοιράστηκαν με το The Hacker News.
Το Mallox συνδέεται με έναν απειλητικό παράγοντα που συνδέεται και με άλλα στελέχη ransomware, όπως τα TargetCompany, Tohnichi, Fargo και πιο πρόσφατα το Xollam. Εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2021.
Δείτε επίσης: Roblox: Προηγούμενη παραβίαση δεδομένων εξέθεσε στοιχεία 4000 χρηστών
Μερικοί από τους σημαντικότερους τομείς στους οποίους στοχεύει η Mallox είναι το manufacturing, οι επαγγελματικές και νομικές υπηρεσίες, καθώς και το χονδρικό και λιανικό εμπόριο.
Μια αξιοσημείωτη πτυχή της ομάδας είναι το μοτίβο της εκμετάλλευσης ανεπαρκώς ασφαλισμένων διακομιστών MS-SQL μέσω επιθέσεων dictionary ως φορέα penetration για να παραβιάσει τα δίκτυα των θυμάτων. Η Xollam αποτελεί απόκλιση από τον κανόνα, καθώς έχει παρατηρηθεί ότι χρησιμοποιεί κακόβουλα συνημμένα αρχεία OneNote για αρχική πρόσβαση, όπως περιγράφει λεπτομερώς η Trend Micro τον περασμένο μήνα.
Αφού αποκτήσει επιτυχημένη πρόσβαση στον μολυσμένο υπολογιστή, εκτελείται μια εντολή PowerShell για την ανάκτηση του ωφέλιμου φορτίου του ransomware από έναν απομακρυσμένο διακομιστή.
Το binary προσπαθεί, από την πλευρά του, να σταματήσει και να αφαιρέσει υπηρεσίες που σχετίζονται με την SQL, να διαγράψει volume shadow copies, να διαγράψει τα event logs του συστήματος, να τερματίσει διεργασίες που σχετίζονται με την ασφάλεια και να παρακάμψει το Raccine -ένα εργαλείο ανοιχτού κώδικα που έχει σχεδιαστεί για την αντιμετώπιση επιθέσεων ransomware- πριν ξεκινήσει τη διαδικασία κρυπτογράφησης. Μετά από αυτό, ένα σημείωμα λύτρων “κάνει drop” σε κάθε directory.
Η TargetCompany παραμένει μια μικρή, κλειστή ομάδα- ωστόσο, έχει επίσης παρατηρηθεί ότι στρατολογεί συνεργάτες για το πρόγραμμα affiliate Mallox ransomware-as-a-service (RaaS) στο φόρουμ κυβερνοεγκλήματος RAMP.
Δείτε επίσης: Εντοπίστηκαν δύο κρίσιμες ευπάθειες AMI MegaRAC
Η εξέλιξη αυτή έρχεται καθώς το ransomware συνεχίζει να είναι ένα προσοδοφόρο οικονομικό σύστημα, με τους εγκληματίες του κυβερνοχώρου να κερδίζουν πάνω από 449,1 εκατομμύρια δολάρια μόνο το πρώτο εξάμηνο του 2023, σύμφωνα με την Chainalysis.
Η ξαφνική αύξηση των μολύνσεων από το Mallox είναι επίσης σύμπτωμα μιας ευρύτερης τάσης στην οποία οι επιθέσεις ransomware σημείωσαν αύξηση 221% σε ετήσια βάση από τον Ιούνιο του 2023, με 434 επιθέσεις που αναφέρθηκαν μόνο για αυτόν τον μήνα, κυρίως λόγω του exploitation από το Cl0p της ευπάθειας του λογισμικού μεταφοράς αρχείων MOVEit.
Πηγή πληροφοριών: thehackernews.com
