Mallox ransomware aktivnosti u 2023. godini zabilježile su porast od 174% u odnosu na prethodnu godinu, otkrivaju novi nalazi Palo Alto Networks Unit 42.
“Mallox ransomware, kao i mnogi drugi ransomware hakeri, prati trend dvostruke iznude: krađu podatke prije šifrovanja datoteka organizacije, a zatim prijete da će objaviti ukradene podatke na mjestu curenja podataka kao polugu da ubijede žrtve da plate naknadu za otkupninu” rekli su istraživači sigurnosti Lior Rochberger i Shimi Cocker u novom izvještaju.
Mallox je povezan s hakerom koji je takođe povezan s drugim vrstama ransomware-a, kao što su TargetCompany, Tohnichi, Fargo i Xollam. Prvi put je izbio na scenu u junu 2021. godine.
Neki od istaknutih sektora koje Mallox cilja su proizvodnja, profesionalne i pravne usluge, te veleprodaja i maloprodaja.
Značajan aspekt grupe je njen obrazac iskorištavanja loše osiguranih MS-SQL servera putem riječničkih napada kao vektora penetracije za kompromitaciju mreža žrtava. Xollam je odstupanje od norme po tome što je primećeno korišćenje malicioznih priloga OneNote datoteka za početni pristup, kao što je detaljno naveo Trend Micro prošlog mjeseca.
Nakon što se uspješno učvrsti na zaraženom hostu, izvršava se naredba PowerShell za preuzimanje ransomware-a sa udaljenog servera.
Binarnost, sa svoje strane, pokušava zaustaviti i ukloniti usluge povezane sa SQL-om, izbrisati sjene kopije volumena, očistiti evidenciju sistemskih događaja, prekinuti sigurnosne procese i zaobići Raccine, alat otvorenog koda dizajniran za suzbijanje ransomware napada, prije nego što započne proces šifrovanja, nakon čega se u svakom direktoriju ispušta poruka o otkupnini.
TargetCompany ostaje mala, zatvorena grupa, ali je takođe primijećeno da regrutuje podružnice za Mallox ransomware-as-a-service (RaaS) program na RAMP forumu za kibernetički kriminal.
Razvoj dolazi jer je ransomware i dalje unosna finansijska šema, koja je kibernetičkim kriminalcima pribavila ne manje od 449,1 milion dolara samo u prvoj polovini 2023. godine, prema Chainalysis-u.
Iznenadni porast Mallox infekcija je takođe simptomatičan za širi trend gdje su ransomware napadi bili svjedoci skoka od 221% u odnosu na prethodnu godinu od juna 2023. godine, sa 434 napada prijavljena samo u junu 2023. godine, uglavnom uzrokovani Cl0p-ovim iskorištavanjem softvera za prenos datoteka v MOVEnerability.
“Ransomware grupa Mallox bila je aktivnija u posljednjih nekoliko mjeseci, a njihovi nedavni napori u regrutaciji mogli bi im omogućiti da napadnu više organizacija ako regrutacija bude uspješna” rekli su istraživači.
Izvor: The Hacker News
