Производство, энергетика, коммунальные услуги и даже IT — вот такой разброс по деятельности компаний получился у киберпреступников.
Исследователи компании Cyble Для просмотра ссылки Войдиили Зарегистрируйся новую вариацию вымогательского вируса «Mallox», также известного как «TargetCompany», который использует уникальный метод доставки и запуска вредоносного ПО на целевых устройствах, а также новый принцип присвоения имён зашифрованным файлам. Вредонос нацелен на такие отрасли, как производство, энергетика и коммунальные услуги, IT и профессиональные услуги.
Цепочка заражения начинается со зловредного вложения на электронной почте, которое может либо сразу содержать исполняемый файл вредоноса, либо содержать загрузчик BatLoader, скачивающий Mallox с C2-сервера преступников, и устанавливающий его затем в систему жертвы благодаря ещё нескольким скриптам и вредоносным файлам.
Однако в отличие от предыдущих методов заражения, в новых версиях Mallox полезная нагрузка программы-вымогателя содержится в пакетном скрипте, который затем вводится в «MSBuild.exe» без сохранения на диске.
Схема атаки Mallox
Скрипт PowerShell , используемый злоумышленниками, поддерживает отключение около 600 различных процессов, способных помешать работе вредоноса и около 200 системных служб. Когда площадка для работы шифровальщика расчищена, вредонос начинает активно шифровать личные данные жертвы.
В прошлых итерациях Mallox зашифрованные файлы получали расширения, совпадающие с названием атакуемой компании. В новых версиях вредоноса хакеры вернулись к привычному «.malox» или «.mallox», в зависимости от конкретного экземпляра вируса.
Зашифрованные файлы жертвы
После завершения процесса шифрования вредонос размещает в прямой видимости жертвы записку с требования выкупа под названием «FILE RECOVERY.txt» следующего содержания:
Записка с выкупом Mallox
Вирус Mallox уже успел публично раскрыть похищенные данные более чем 20 компаний из 15 разных стран. Причем Индия является наиболее атакуемой страной, за которой следуют Соединенные Штаты.
Внедрение новых методов заражения говорит о том, что киберпреступная группировка, ответственная за программу-вымогатель Mallox, активно изменяет свои TTP, повышая скрытность и эффективность своей вредоносной деятельности.
Для предотвращения возможных кибератак и потери важных данных, исследователи Cyble рекомендуют следующее:
Исследователи компании Cyble Для просмотра ссылки Войди
Цепочка заражения начинается со зловредного вложения на электронной почте, которое может либо сразу содержать исполняемый файл вредоноса, либо содержать загрузчик BatLoader, скачивающий Mallox с C2-сервера преступников, и устанавливающий его затем в систему жертвы благодаря ещё нескольким скриптам и вредоносным файлам.
Однако в отличие от предыдущих методов заражения, в новых версиях Mallox полезная нагрузка программы-вымогателя содержится в пакетном скрипте, который затем вводится в «MSBuild.exe» без сохранения на диске.
Схема атаки Mallox
Скрипт PowerShell , используемый злоумышленниками, поддерживает отключение около 600 различных процессов, способных помешать работе вредоноса и около 200 системных служб. Когда площадка для работы шифровальщика расчищена, вредонос начинает активно шифровать личные данные жертвы.
В прошлых итерациях Mallox зашифрованные файлы получали расширения, совпадающие с названием атакуемой компании. В новых версиях вредоноса хакеры вернулись к привычному «.malox» или «.mallox», в зависимости от конкретного экземпляра вируса.
Зашифрованные файлы жертвы
После завершения процесса шифрования вредонос размещает в прямой видимости жертвы записку с требования выкупа под названием «FILE RECOVERY.txt» следующего содержания:
Записка с выкупом Mallox
Вирус Mallox уже успел публично раскрыть похищенные данные более чем 20 компаний из 15 разных стран. Причем Индия является наиболее атакуемой страной, за которой следуют Соединенные Штаты.
Внедрение новых методов заражения говорит о том, что киберпреступная группировка, ответственная за программу-вымогатель Mallox, активно изменяет свои TTP, повышая скрытность и эффективность своей вредоносной деятельности.
Для предотвращения возможных кибератак и потери важных данных, исследователи Cyble рекомендуют следующее:
- использовать надёжное антивирусное решение и проверенное программное обеспечение на всех своих устройствах, включая ПК, ноутбук и смартфон;
- своевременно обновлять программное обеспечение на каждом устройстве;
- воздерживаться от открытия ненадежных ссылок и вложений электронной почты без проверки их подлинности;
- регулярно делать резервные копии важных данных и хранить их автономно или в отдельной сети.
- Источник новости
- www.securitylab.ru