Palo Alto Networks Unit 42’nin yeni bulgularına göre, 2023’teki Mallox fidye yazılımı faaliyetleri bir önceki yıla göre %174 artışa tanık oldu.
Güvenlik araştırmacıları Lior Rochberger ve Shimi Cohen, The Hacker News ile paylaşılan yeni bir raporda, “Diğer birçok fidye yazılımı tehdidi aktörü gibi, çifte gasp eğilimi izliyor: bir kuruluşun dosyalarını şifrelemeden önce verileri çalmak ve ardından çalınan verileri bir sızıntı sitesinde yayınlamakla tehdit ederek kurbanları fidye ücretini ödemeye ikna etmek için bir koz olarak” dedi.
Mallox, TargetCompany, Tohnichi, Fargo ve son olarak Xollam gibi diğer fidye yazılımı türleriyle de bağlantılı olan bir tehdit aktörüyle bağlantılıdır. İlk olarak Haziran 2021’de sahneye çıktı.
Mallox’un hedeflediği öne çıkan sektörlerden bazıları imalat, profesyonel ve yasal hizmetler ile toptan ve perakendedir.
Grubun dikkate değer bir yönü, zayıf güvenlikli MS-SQL sunucularını, kurbanların ağlarını tehlikeye atmak için bir penetrasyon vektörü olarak sözlük saldırıları yoluyla kullanma modelidir. Xollam, geçen ay Trend Micro tarafından detaylandırıldığı üzere, ilk erişim için kötü amaçlı OneNote dosya ekleri kullandığı gözlemlendiğinden normdan bir sapmadır.
Etkilenen ana bilgisayarda başarılı bir yer edindikten sonra, fidye yazılımı yükünü uzak bir sunucudan almak için bir PowerShell komutu yürütülür.
İkili dosya kendi adına, şifreleme işlemine başlamadan önce SQL ile ilgili hizmetleri durdurmaya ve kaldırmaya, birim gölge kopyalarını silmeye, sistem olay günlüklerini temizlemeye, güvenlikle ilgili işlemleri sonlandırmaya ve fidye yazılımı saldırılarına karşı tasarlanmış açık kaynaklı bir araç olan Raccine’i atlamaya çalışır ve ardından her dizine bir fidye notu düşer.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
TargetCompany küçük, kapalı bir grup olmaya devam ediyor, ancak RAMP siber suç forumunda Mallox hizmet olarak fidye yazılımı (RaaS) ortaklık programı için üyeler aldığı da gözlemlendi.
Gelişme, fidye yazılımının kazançlı bir finansal plan olmaya devam etmesi ve Chainalysis’e göre yalnızca 2023’ün ilk yarısında siber suçluları en az 449,1 milyon dolardan netleştirmeye devam etmesiyle geldi.
Araştırmacılar, “Mallox fidye yazılımı grubu son birkaç ayda daha aktif hale geldi ve son zamanlardaki işe alma çabaları, işe alım hamlesi başarılı olursa daha fazla kuruluşa saldırmalarını sağlayabilir” dedi.