研究顯示與 2022 年相比,2023 年Mallox勒索軟體活動增加了 174%
Mallox是一個擅長通過易受攻擊的SQL伺服器闖入目標網路的勒索軟體,在過去幾個月中其活動突然變得非常活躍。根據Palo Alto Networks 旗下Unit 42 團隊的最新調查結果顯示,2023 年 Mallox 勒索軟體活動較前一年增加了 174%,並且有跡象成為比現在更大的威脅。Mallox勒索軟體於 2021 年 6 月首次浮出水面,並聲稱自那時以來已感染了全球數百個組織, Mallox的受害者包括製造、零售、批發、法律和專業服務部門的組織。由於大規模利用 MS-SQL伺服器,Mallox 勒索軟體的分佈有所增加,與 2022 年相比增長了 150% 以上。在這些活動中,Mallox 勒索軟體組織應用了暴力破解、數據外洩和其他攻擊技術。攻擊者傾向於通過在暗網上尋找會員(Affiliate),引誘他們加入勒索軟體即服務(Ransomware-as-a-service,RaaS)計劃來擴大其攻擊活動。據Palo Alto Networks的Unit 42稱,從今年早些時候開始,與該組織相關的威脅活動激增,特別是在5月份。
據了解,操作Mallox 的駭客還同時使用其他勒索軟體,例如 TargetCompany、Tohnichi、Fargo 以及最近的 Xollam,在上個月Xollam已被TrendMicro觀察到使用惡意 OneNote 檔案附件進行初始存取。然而,一個值得注意的地方是Mallox勒索軟體的其通過字典攻擊作為滲透向量來利用安全性較差的 MS-SQL 伺服器來危害受害者網路的模式,在受感染的主機上成功立足後,將執行PowerShell命令以從遠端伺服器檢索勒索軟體有效負載。除了致力於刪除 SQL 相關服務、卷影副本和清除系統事件日誌之外,Mallox勒索軟體還在檔案加密之前終止與安全相關的進程以及繞過Raccine(一種旨在對抗勒索軟體攻擊的開源工具),然後在每個目錄中投放勒索訊息。
值得一提的是TargetCompany勒索軟體仍然是一個小型、封閉的組織,但據觀察,它也在 RAMP 網路犯罪論壇上為 Mallox 勒索軟體即服務 (RaaS) 附屬計劃招募附屬會員。
據Chainaanalysis稱,勒索軟體對駭客而言仍然是一種利潤豐厚的財務計劃,僅在 2023 年上半年,網路犯罪分子就獲得了至少4.491 億美元的淨收益,Mallox的攻擊活動突然激增也是一個更廣泛趨勢的徵兆,截至 2023 年 6 月,勒索軟體攻擊同比增長 221%,僅 2023 年 6 月就報告了 434 起攻擊,這主要是由Cl0p利用MOVEit 檔案傳輸軟體漏洞造成的。
研究人員表示,Mallox 勒索軟體組織在過去幾個月中更加活躍,如果招募活動成功,最近的招募可使他們能夠攻擊更多組織。為了防禦此類威脅,建議組織確保面向互聯網的應用程序的正確配置,使所有系統保持修補和最新狀態,並實施端點安全控制以檢測可疑活動。積極採取網路安全措施仍然是抵禦 Mallox 等勒索軟體威脅的最佳防禦措施。
Mallox的部分入侵指標(Indicator of compromise -IOCs):
0427a9f68d2385f7d5ba9e9c8e5c7f1b6e829868ef0a8bc89b2f6dae2f2020c4
0463277782f9e98b0e7a028cea0f689a81cf080fa0d64d4de8ef4803bb1bf03a
05194b34f8ff89facdd7b56d05826b08edaec9c6e444bdc32913e02cab01afd4
060ed94db064924a90065a5f4efb50f938c52619ca003f096482353e444bd096