Хакеры активно вербуют сообщников на киберпреступных форумах.
В 2023 году активность вымогателей Mallox значительно возросла — на 174% по сравнению с прошлым годом, согласно новым данным, полученным специалистами Unit 42 из Palo Alto Networks.
«Mallox, как и многие другие вымогательские группировки, придерживаются стратегии двойного вымогательства: сначала похищают данные, а затем шифруют файлы в организации жертвы и угрожают опубликовать украденную информацию, чтобы заставить заплатить выкуп», — говорится в недавнем отчёте экспертов по кибербезопасности Лиора Рохбергера и Шими Коэна.
По данным исследователей, вымогатели Mallox тесно связаны с другими злоумышленниками, такими как TargetCompany, Tohnichi, Fargo и недавно появившаяся Xollam. Сама группировка Mallox была замечена в июне 2021 года. Среди основных целей хакеров — производственные компании, фирмы в сфере профессиональных услуг и оптово-розничная торговля.
Отличительной чертой данных вымогательских образований является взлом плохо защищённых MS-SQL серверов с помощью перебора паролей, что и позволяет им проникать в сети своих жертв. Xollam, в свою очередь, отличается тем, что использует вредоносные вложения в OneNote для первоначального доступа.
После успешного проникновения выполняется PowerShell-команда для загрузки вымогательского ПО с удалённого сервера. Сама программа пытается остановить SQL-сервисы, удалить теневые копии томов, очистить системные журналы событий, прервать работу связанных с безопасностью процессов и обойти Raccine — инструмент, предназначенный для противодействия вымогателям. После этого запускается шифрование, а в каждом каталоге оставляется файл с требованиями о выкупе.
Эксперты связывают увеличение вымогательской активности с тем, что она по-прежнему приносит киберпреступникам огромные доходы — только за первые полгода 2023 года вымогателям удалось получить не менее 449,1 миллиона долларов, по данным Chainalysis.
Резкий рост числа атак Mallox — лишь часть общей тенденции: количество вымогательских атак за год выросло на 221%, а только в июне 2023 года было зафиксировано 434 инцидента. Одна из основных причин столь печальной статистики — эксплуатация хакерами Clop уязвимости MOVEit Transfer.
«В последние месяцы группировка Mallox активизировалась, а их попытки вербовки могут привести к атакам на ещё большее число организаций», — предупреждают эксперты.