Вымогатели Mallox меняют тактику: чего ожидать от их следующего цифрового удара?

[Artifact]

Группировка обновила свои инструменты, внедрив Remcos RAT, BatCloak и Metasploit для скрытных атак на SQL-серверы.
Группа вымогателей Mallox, также известная как TargetCompany, Fargo и Tohnichi, заметно активизировалась в последнее время. Её жертвами всё чаще становятся организации с уязвимыми SQL-серверами.
Как выяснили исследователи компании Trend Micro, злоумышленники Mallox используют новый вариант собственного вымогательского ПО в сочетании с другими инструментами, такими как троян удалённого доступа Remcos и обфускатор BatCloak. Это позволяет им закрепиться в системе жертвы и избежать обнаружения.
По словам экспертов, основной метод проникновения в сеть организации остаётся прежним — эксплуатация старых уязвимостей в SQL-серверах — CVE-2020-0618 и CVE-2019-1068 . Однако на более поздних этапах атаки злоумышленники меняют тактику, чтобы оставаться незамеченными.
При обнаружении подозрительной активности, связанной с PowerShell, специалисты Trend Micro выяснили, что используется новый вариант Mallox. Однако первоначальная попытка проникновения была заблокирована существующими средствами защиты.
Тогда преступники стали использовать вспомогательные инструменты, такие как FUD и Metasploit, чтобы обойти защиту. FUD — это метод обфускации, который автоматически маскирует вымогательское ПО, чтобы оно не определялось сигнатурными методами. А Metasploit — это хакерский инструмент, который помогает загрузить зашифрованный Mallox.
Использование FUD и Metasploit не является чем-то принципиально новым в арсенале злоумышленников. Однако это показывает, что группы типа Mallox постоянно совершенствуют свои методы, чтобы обходить средства защиты.
По мнению экспертов Trend Micro, большинство жертв Mallox имеют уязвимые SQL-серверы, которые используются для первоначального проникновения. Поэтому организациям рекомендуется проверить свои системы на наличие уязвимостей и устранить их.
Кроме того, поскольку методы обфускации, используемые Mallox, могут обходить традиционные средства защиты, стоит добавить решения на основе искусственного интеллекта для анализа файлов и поведения.
В целом, для защиты от групп типа Mallox эксперты рекомендуют комплексный подход, включающий устранение уязвимостей, сетевое сегментирование, использование специализированных средств обнаружения вымогателей, а также повышение осведомленности пользователей о возможных рисках.
Такой многоуровневый подход позволит минимизировать ущерб от деятельности преступных групп, использующих вымогательское ПО для атак на коммерческие организации и государственные учреждения. Кибербезопасность требует постоянного совершенствования мер защиты в ответ на изощренные методы современных злоумышленников.