“Hedef şirket” fidye yazılımı olarak da bilinen Mallox fidye yazılımının yeni bir çeşidi, dosyaları şifrelemek ve fidye yazılımı saldırısını başlatmak için hedeflenen şirketin adını bir dosya uzantısı olarak eklemek için benzersiz bir yöntem kullanır.
Mallox tehdit aktörü, fidye yazılımını internete açık güvenli olmayan Microsoft SQL sunucularını hedefleyerek istenmeyen e-postalara eklenmiş bir indirici aracılığıyla dağıtır.
.png
)
Mallox fidye yazılımı, güvenliği ihlal edilmiş makinelerdeki dosyaları şifreler ve genellikle bir “. mallox” uzantısını etkilenen dosyalara ekleyin.
Mallox, İmalat, Enerji ve Kamu Hizmetleri sektörleri, BT ve ITES ve Profesyonel Hizmetler gibi sektörleri hedefler.
Mallox Ransomware Saldırı Vektörü
Mallox fidye yazılımı, uzak bir sunucudan Bat Loader’ı indiren yürütülebilir bir dosya olabilen veya doğrudan onu içerebilen kötü amaçlı bir ek aracılığıyla saldırıyı başlatır.
Yeni değişken, fidye yazılımı yükünü uzak bir sunucudan almak için bir indiriciye ihtiyaç duymaz. Yarasa yükleyici, doğrudan bir kimlik avı e-postasındaki ek aracılığıyla teslim edilecektir.
Bunun yerine, fidye yazılımı yükü, daha sonra diske kaydetmeden “MSBuild.exe” içine enjekte edilen bir toplu komut dosyası içinde bulunur.
Kullanıcı eki tıkladığında, toplu komut dosyası dosyasında rasgele dizilerde tanımlanan çeşitli değişkenler, komutları yürütmek için birleştirme yoluyla birleştirilir.
İkinci olarak, parametre olarak sağlanan Base64 kodlu içerik, BatLoader’dan fidye yazılımı yükünü ayıklamak için yürütülür.
Betik, bu ayıklamayı ilk BatLoader’ı tarayarak ve “ck” alt dizesiyle satırları tanımlayarak gerçekleştirir. “ck” içeren bir satır bulunduğunda, komut dosyası, Append yöntemini kullanarak “ck”den sonraki alt dizgiyi bir nesneye ekler.
Bu PowerShell betiği ayrıca, aşağıdaki işlemleri gerçekleştirebilen “killerrr.bat” adlı bir toplu betiği %TEMP% dizinine bırakır:
- kullanarak 600’den fazla işlemi sonlandırın. görev öldürme / IM emretmek.
- kullanarak 200’den fazla hizmeti durdurur. ağ durağı emretmek.
- kullanarak 13’ten fazla hizmeti devre dışı bırakır. sc yapılandırma Hizmet_Adı başlangıç= devre dışı güç.
- kullanarak 200’den fazla hizmeti siler. sc silme emretmek.
- “C:\Program Files (x86)\Kingdee\K3ERP\K3Express\KDHRAPP\client\log” ve “C:\Program Files\Kingdee\K3ERP\K3Express\Logs” 2 dizini kaldırır
Son olarak, fidye yazılımı ikili dosyası, bu PowerShell betiği aracılığıyla MSBuild.exe’ye enjekte edilir. Saldırganların dosyaların şifresini çözmek için iletişim bilgileri ve fidye talebiyle ilgili ayrıntıları sağladığı fidye yazılımı notları burada.
Cyble Researchers, Mallox fidye yazılımının 15’ten fazla ülkeden 20’den fazla kurbanın ayrıntılarını kamuya açıkladığını, en çok hedef alınan ülkenin Hindistan olduğunu ve ardından ABD’nin geldiğini söyledi.
Fidye yazılımı saldırıları nedeniyle veri ihlallerini önlemek için aşağıdaki adımlar izlenmelidir
- Düzenli yedekleme uygulamaları gerçekleştirin ve bu yedeklemeleri çevrimdışı veya ayrı bir ağda tutun.
- Bilgisayarınızda, mobil cihazınızda ve diğer bağlı cihazlarınızda mümkün olan her yerde ve pragmatik olarak güncel kalın.
- PC, dizüstü bilgisayar ve cep telefonu da dahil olmak üzere bağlı cihazlarınızda tanınmış bir anti-virüs ve İnternet güvenliği yazılım paketi kullanın.
- Orijinalliklerini doğrulamadan güvenilmeyen bağlantıları ve e-posta eklerini açmaktan kaçının.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.
Uzlaşma Göstergeleri (IOC’ler)
| göstergeler | Gösterge Türü | Tanım |
| dcf060e00547cfe641eff3f836ec08c8 8054569d8b449e4cd0211cb2499c19f42557fb21 2565158b0a023299c1922423a065b982g5fd1769f1a87ffd2031375a0e893d523318 |
MD5 SHA1 SHA256 |
Yarasa Yükleyici |
| 9a239885dc7044a9289610d58585167b 28b8b4c9fe29ba0e815e525d2529b92217877e85 0de0da8037176c3c9cb403e2865a7699e53ff5a013070132ba512b9dab7a0126 |
MD5 SHA1 SHA256 |
Bir katil |