Вымогатели Mallox меняют тактику: чего ожидать от их следующего цифрового удара?

Группа вымогателей Mallox, также известная как TargetCompany, Fargo и Tohnichi, заметно активизировалась в последнее время. Её жертвами всё чаще становятся организации с уязвимыми SQL -серверами.

Как выяснили исследователи компании Trend Micro , злоумышленники Mallox используют новый вариант собственного вымогательского ПО в сочетании с другими инструментами, такими как троян удалённого доступа Remcos и обфускатор BatCloak. Это позволяет им закрепиться в системе жертвы и избежать обнаружения.

По словам экспертов, основной метод проникновения в сеть организации остаётся прежним — эксплуатация старых уязвимостей в SQL-серверах — CVE-2020-0618 и CVE-2019-1068 . Однако на более поздних этапах атаки злоумышленники меняют тактику, чтобы оставаться незамеченными.

При обнаружении подозрительной активности, связанной с PowerShell, специалисты Trend Micro выяснили, что используется новый вариант Mallox. Однако первоначальная попытка проникновения была заблокирована существующими средствами защиты.

Тогда преступники стали использовать вспомогательные инструменты, такие как FUD и Metasploit , чтобы обойти защиту. FUD — это метод обфускации, который автоматически маскирует вымогательское ПО, чтобы оно не определялось сигнатурными методами. А Metasploit — это хакерский инструмент, который помогает загрузить зашифрованный Mallox.

Использование FUD и Metasploit не является чем-то принципиально новым в арсенале злоумышленников. Однако это показывает, что группы типа Mallox постоянно совершенствуют свои методы, чтобы обходить средства защиты.

По мнению экспертов Trend Micro, большинство жертв Mallox имеют уязвимые SQL-серверы, которые используются для первоначального проникновения. Поэтому организациям рекомендуется проверить свои системы на наличие уязвимостей и устранить их.

Кроме того, поскольку методы обфускации, используемые Mallox, могут обходить традиционные средства защиты, стоит добавить решения на основе искусственного интеллекта для анализа файлов и поведения.

В целом, для защиты от групп типа Mallox эксперты рекомендуют комплексный подход, включающий устранение уязвимостей, сетевое сегментирование, использование специализированных средств обнаружения вымогателей, а также повышение осведомленности пользователей о возможных рисках.

Такой многоуровневый подход позволит минимизировать ущерб от деятельности преступных групп, использующих вымогательское ПО для атак на коммерческие организации и государственные учреждения. Кибербезопасность требует постоянного совершенствования мер защиты в ответ на изощренные методы современных злоумышленников.