Из отчета следует, что шифровальщик Mallox – это зловред, эволюционировавший за три года из вредоносного программного обеспечения для точечных атак в ПО, которое распространяется по модели RaaS, "шифровальщик как услуга".
"В 2023 году был зафиксирован резкий скачок атак с применением шифровальщиков этого семейства: тогда общее количество обнаруженных образцов превысило 700. Mallox представляет серьезную угрозу для организаций из разных отраслей по всему миру, в том числе в Казахстане"."Лаборатория Касперского"
Как развивался Mallox
Шифровальщик Mallox появился в начале 2021 года и изначально предназначался для целевых атак. Злоумышленники кастомизировали его под каждую жертву, а в сообщении о выкупе вручную указывали название целевой компании и расширение зашифрованных файлов.
В январе 2023 года атакующие запустили на теневых форумах партнерскую программу, с помощью которой активно привлекали других злоумышленников для расширения круга жертв. В одном из первых объявлений потенциальным партнерам, или "пентестерам", которые готовы находить целевые компании и проникать в их системы, предлагались выгодные условия. Приоритет отдавался тем, кто уже получил несанкционированный доступ к большому числу организаций и (или) к крупным сетям. Таким злоумышленникам предлагалось 80% прибыли, а тем, у кого нет значительного количества легкодоступных жертв, – 70% от выкупа. Организаторам программы удалось привлечь значительное количество партнеров.
Особенности атак
Для заражения часто используются уязвимости в серверах MS SQL и PostgreSQL. Кроме того, злоумышленники постоянно совершенствуют схемы шифрования, чтобы повысить эффективность атак.
Прежде чем начать процесс шифрования, троянец проверяет языковые настройки операционной системы жертвы. Если на устройстве установлен язык одной из нескольких стран СНГ, шифровальщик прекращает работу. Более подробно возможные причины такого поведения зловреда рассматриваются в отчете.
"Анализ вредоносного ПО Mallox, полной истории его развития, а также возможных последствий атак поможет организациям усилить свою защиту. Если своевременно обеспечить необходимые меры безопасности, можно надежно защитить свои цифровые активы и снизить риск того, что компания станет следующей мишенью атакующих".Эксперт по кибербезопасности "Лаборатории Касперского" Фёдор Синицын
Полный отчет по вредоносному ПО Mallox можно прочитать по ссылке.
Чтобы усилить безопасность организации, "Лаборатория Касперского" рекомендует:
- не открывать доступ к RDP из общедоступных сетей без крайней необходимости и использовать надежные пароли;
- своевременно обновлять ПО, в том числе серверное программное обеспечение, поскольку при использовании уязвимых версий ПО часто происходит заражение программами-вымогателями;
- регулярно создавать резервные копии данных и убедиться, что в случае экстренной ситуации к ним можно быстро получить доступ;
- предоставить ИБ-специалистам доступ к свежим данным об угрозах, чтобы они были в курсе актуальных техник, тактик и процедур злоумышленников. Например, с помощью сервисов Threat Intelligence;
- использовать MDR-сервисы для управляемого обнаружения и реагирования на угрозы. Например, Kaspersky Managed Detection and Response. Он помогает обнаружить атаку на ранней стадии и предотвратить ее дальнейшее развитие до того, как злоумышленники достигнут своих целей;
- проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии. Например, с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- установить комплексные решения, включающие защиту конечных точек и возможность автоматического реагирования на инциденты, такие как Kaspersky Symphony;
- использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий.
Материал по теме
Ранее мы писали, что эксперты "Лаборатории Касперского" предупредили бизнесменов Казахстана об опасности.
