توییت
یافتههای جدید Palo Alto Networks Unit 42 نشان میدهد که فعالیتهای باجافزار Mallox در سال 2023 در مقایسه با سال قبل، شاهد افزایش 174 درصدی بوده است.
لیور روچبرگر و شیمی کوهن، محققین امنیتی در گزارشی جدید به اشتراک گذاشته شده در The New Hacker News میگویند: «باجافزار Mallox، مانند بسیاری دیگر از بازیگران تهدید باجافزار، از روند اخاذی مضاعف پیروی میکند: سرقت دادهها قبل از رمزگذاری فایلهای یک سازمان، و سپس تهدید به انتشار دادههای سرقت شده در یک سایت درز به عنوان اهرمی برای متقاعد کردن قربانیان برای پرداخت هزینه باج».
Mallox به یک عامل تهدید مرتبط است که همچنین به گونههای باجافزار دیگری مانند TargetCompany، Tohnichi، Fargo و اخیراً Xollam مرتبط است. اولین بار در ژوئن 2021 به صحنه آمد.
برخی از بخشهای برجسته مورد هدف مالوکس، تولید، خدمات حرفهای و حقوقی و عمدهفروشی و خردهفروشی است.
یکی از جنبه های قابل توجه این گروه، الگوی بهره برداری از سرورهای MS-SQL با امنیت ضعیف از طریق حملات فرهنگ لغت به عنوان یک بردار نفوذ برای به خطر انداختن شبکه های قربانیان است. Xollam یک انحراف از هنجار است زیرا با استفاده از پیوست های مخرب فایل OneNote برای دسترسی اولیه، همانطور که توسط Trend Micro در ماه گذشته توضیح داده شد، مشاهده شده است.
باج افزار Mallox
پس از به دست آوردن جایگاه موفقیت آمیز در میزبان آلوده، یک فرمان PowerShell برای بازیابی بار باج افزار از یک سرور راه دور اجرا می شود.
باینری، به نوبه خود، تلاش میکند تا سرویسهای مرتبط با SQL را متوقف و حذف کند، کپیهای سایه حجمی را حذف کند، گزارشهای رویداد سیستم را پاک کند، فرآیندهای مرتبط با امنیت را خاتمه دهد، و Raccine، یک ابزار منبع باز که برای مقابله با حملات باجافزار طراحی شده است را دور بزند، قبل از شروع فرآیند رمزگذاریاش، و پس از آن یک باج در هر دایرکتوری فهرست میشود.
TargetCompany یک گروه کوچک و بسته باقی مانده است، اما همچنین مشاهده شده است که برای برنامه وابسته به باج افزار Mallox به عنوان یک سرویس (RaaS) در انجمن جرایم سایبری RAMP، افراد وابسته را به خدمت گرفته است.
این توسعه در حالی صورت میگیرد که باجافزار همچنان یک طرح مالی سودآور است و مجرمان سایبری را تنها در نیمه اول سال 2023 کمتر از 449.1 میلیون دلار بهازای هر Chainalysis بهدست میآورد.
افزایش ناگهانی آلودگیهای Mallox همچنین نشانه روند گستردهتری است که در آن حملات باجافزار تا ژوئن 2023 شاهد جهش 221 درصدی نسبت به سال گذشته بوده است، با 434 حمله گزارش شده تنها در ژوئن 2023، که عمدتاً ناشی از بهرهبرداری Cl0p از نرمافزار انتقال فایل MOVEit است.
محققان میگویند: «گروه باجافزار Mallox در چند ماه گذشته فعالتر بوده است و تلاشهای اخیر آنها برای استخدام ممکن است به آنها امکان حمله به سازمانهای بیشتری را در صورت موفقیتآمیز بودن درایو استخدام، بدهد».
لیور روچبرگر و شیمی کوهن، محققین امنیتی در گزارشی جدید به اشتراک گذاشته شده در The New Hacker News میگویند: «باجافزار Mallox، مانند بسیاری دیگر از بازیگران تهدید باجافزار، از روند اخاذی مضاعف پیروی میکند: سرقت دادهها قبل از رمزگذاری فایلهای یک سازمان، و سپس تهدید به انتشار دادههای سرقت شده در یک سایت درز به عنوان اهرمی برای متقاعد کردن قربانیان برای پرداخت هزینه باج».
Mallox به یک عامل تهدید مرتبط است که همچنین به گونههای باجافزار دیگری مانند TargetCompany، Tohnichi، Fargo و اخیراً Xollam مرتبط است. اولین بار در ژوئن 2021 به صحنه آمد.
برخی از بخشهای برجسته مورد هدف مالوکس، تولید، خدمات حرفهای و حقوقی و عمدهفروشی و خردهفروشی است.
یکی از جنبه های قابل توجه این گروه، الگوی بهره برداری از سرورهای MS-SQL با امنیت ضعیف از طریق حملات فرهنگ لغت به عنوان یک بردار نفوذ برای به خطر انداختن شبکه های قربانیان است. Xollam یک انحراف از هنجار است زیرا با استفاده از پیوست های مخرب فایل OneNote برای دسترسی اولیه، همانطور که توسط Trend Micro در ماه گذشته توضیح داده شد، مشاهده شده است.
باج افزار Mallox
پس از به دست آوردن جایگاه موفقیت آمیز در میزبان آلوده، یک فرمان PowerShell برای بازیابی بار باج افزار از یک سرور راه دور اجرا می شود.
باینری، به نوبه خود، تلاش میکند تا سرویسهای مرتبط با SQL را متوقف و حذف کند، کپیهای سایه حجمی را حذف کند، گزارشهای رویداد سیستم را پاک کند، فرآیندهای مرتبط با امنیت را خاتمه دهد، و Raccine، یک ابزار منبع باز که برای مقابله با حملات باجافزار طراحی شده است را دور بزند، قبل از شروع فرآیند رمزگذاریاش، و پس از آن یک باج در هر دایرکتوری فهرست میشود.
TargetCompany یک گروه کوچک و بسته باقی مانده است، اما همچنین مشاهده شده است که برای برنامه وابسته به باج افزار Mallox به عنوان یک سرویس (RaaS) در انجمن جرایم سایبری RAMP، افراد وابسته را به خدمت گرفته است.
این توسعه در حالی صورت میگیرد که باجافزار همچنان یک طرح مالی سودآور است و مجرمان سایبری را تنها در نیمه اول سال 2023 کمتر از 449.1 میلیون دلار بهازای هر Chainalysis بهدست میآورد.
افزایش ناگهانی آلودگیهای Mallox همچنین نشانه روند گستردهتری است که در آن حملات باجافزار تا ژوئن 2023 شاهد جهش 221 درصدی نسبت به سال گذشته بوده است، با 434 حمله گزارش شده تنها در ژوئن 2023، که عمدتاً ناشی از بهرهبرداری Cl0p از نرمافزار انتقال فایل MOVEit است.
محققان میگویند: «گروه باجافزار Mallox در چند ماه گذشته فعالتر بوده است و تلاشهای اخیر آنها برای استخدام ممکن است به آنها امکان حمله به سازمانهای بیشتری را در صورت موفقیتآمیز بودن درایو استخدام، بدهد».