Οι δραστηριότητες του Mallox ransomware το 2023 σημείωσαν αύξηση 174% σε σύγκριση με το προηγούμενο έτος, σύμφωνα με νέα ευρήματα της Unit 42 της Palo Alto Networks.
See also: New P2PInfect worm malware targets Linux and Windows Redis servers
“Το ransomware Mallox, όπως και πολλοί άλλοι απειλητικοί ransomware, ακολουθεί την τάση διπλού εκβιασμού: κλέβει δεδομένα πριν κρυπτογραφήσει τα αρχεία ενός οργανισμού και στη συνέχεια απειλεί να δημοσιεύσει τα κλεμμένα δεδομένα σε μια ιστοσελίδα διαρροής ως μοχλό πίεσης για να πείσει τα θύματα να pay The ransom“, αναφέρουν οι ερευνητές ασφαλείας Lior Rochberger και Shimi Cohen σε μια νέα έκθεση που μοιράστηκαν με το The Hacker News.
Το Mallox συνδέεται με έναν απειλητικό παράγοντα που συνδέεται και με άλλα στελέχη ransomware, όπως τα TargetCompany, Tohnichi, Fargo και πιο πρόσφατα το Xollam. Εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2021.
See also: Roblox: Previous data breach exposed 4000 users' data
Μερικοί από τους σημαντικότερους τομείς στους οποίους στοχεύει η Mallox είναι το manufacturing, οι επαγγελματικές και νομικές υπηρεσίες, καθώς και το χονδρικό και λιανικό εμπόριο.
Μια αξιοσημείωτη πτυχή της ομάδας είναι το μοτίβο της εκμετάλλευσης ανεπαρκώς ασφαλισμένων διακομιστών MS-SQL μέσω επιθέσεων dictionary ως φορέα penetration για να παραβιάσει τα δίκτυα των θυμάτων. Η Xollam αποτελεί απόκλιση από τον κανόνα, καθώς έχει παρατηρηθεί ότι χρησιμοποιεί κακόβουλα συνημμένα αρχεία OneNote για αρχική πρόσβαση, όπως περιγράφει λεπτομερώς η Trend Micro τον περασμένο μήνα.
Αφού αποκτήσει επιτυχημένη πρόσβαση στον μολυσμένο υπολογιστή, εκτελείται μια εντολή PowerShell για την ανάκτηση του ωφέλιμου φορτίου του ransomware από έναν απομακρυσμένο διακομιστή.
Το binary προσπαθεί, από την πλευρά του, να σταματήσει και να αφαιρέσει υπηρεσίες που σχετίζονται με την SQL, να διαγράψει volume shadow copies, να διαγράψει τα event logs του συστήματος, να τερματίσει διεργασίες που σχετίζονται με την Security και να παρακάμψει το Raccine -ένα εργαλείο ανοιχτού κώδικα που έχει σχεδιαστεί για την αντιμετώπιση επιθέσεων ransomware- πριν ξεκινήσει τη διαδικασία encryption. Μετά από αυτό, ένα σημείωμα λύτρων “κάνει drop” σε κάθε directory.
Η TargetCompany παραμένει μια μικρή, κλειστή ομάδα- ωστόσο, έχει επίσης παρατηρηθεί ότι στρατολογεί συνεργάτες για το πρόγραμμα affiliate Mallox ransomware-as-a-service (RaaS) στο φόρουμ κυβερνοεγκλήματος RAMP.
See also: Two critical AMI MegaRAC vulnerabilities identified
Η εξέλιξη αυτή έρχεται καθώς το ransomware συνεχίζει να είναι ένα προσοδοφόρο οικονομικό σύστημα, με τους εγκληματίες του κυβερνοχώρου να κερδίζουν πάνω από 449,1 εκατομμύρια δολάρια μόνο το πρώτο εξάμηνο του 2023, σύμφωνα με την Chainalysis.
Η ξαφνική αύξηση των μολύνσεων από το Mallox είναι επίσης σύμπτωμα μιας ευρύτερης τάσης στην οποία οι επιθέσεις ransomware σημείωσαν αύξηση 221% σε ετήσια βάση από τον Ιούνιο του 2023, με 434 επιθέσεις που αναφέρθηκαν μόνο για αυτόν τον μήνα, κυρίως λόγω του exploitation από το Cl0p της ευπάθειας του λογισμικού μεταφοράς αρχείων MOVEit.
Information source: thehackernews.com
