Россия входит в топ-5 стран, где атаки с использованием этого шифровальщика происходят чаще всего
Эксперты «Лаборатории Касперского» представили отчёт, в котором проанализировали развитие шифровальщика Mallox. Этот зловред за три года из вредоносного программного обеспечения для точечных атак эволюционировал в ПО, которое распространяется по модели RaaS, «шифровальщик как услуга».
В 2023 году был зафиксирован резкий скачок атак с применением шифровальщиков этого семейства: тогда общее количество обнаруженных образцов превысило 700. Mallox представляет серьёзную угрозу для организаций из разных отраслей по всему миру, в том числе в России.
Как развивался Mallox. Шифровальщик Mallox появился в начале 2021 года и изначально предназначался для целевых атак. Злоумышленники кастомизировали его под каждую жертву, а в сообщении о выкупе вручную указывали название целевой компании и расширение зашифрованных файлов.
В январе 2023 года атакующие запустили на теневых форумах партнёрскую программу, с помощью которой активно привлекали других злоумышленников для расширения круга жертв. В одном из первых объявлений потенциальным партнёрам, или «пентестерам», которые готовы находить целевые компании и проникать в их системы, предлагались выгодные условия. Приоритет отдавался тем, кто уже получили несанкционированный доступ к большому числу организаций и (или) к крупным сетям. Таким злоумышленникам предлагалось 80% прибыли, а тем, у кого нет значительного количества легкодоступных жертв, — 70% от выкупа. Организаторам программы удалось привлечь значительное количество партнёров.
Особенности атак. Для заражения часто используются уязвимости в серверах MS SQL и PostgreSQL. Кроме того, злоумышленники постоянно совершенствуют схемы шифрования, чтобы повысить эффективность атак.
Прежде чем начать процесс шифрования, троянец проверяет языковые настройки операционной системы жертвы. Если на устройстве установлен язык одной из нескольких стран СНГ, шифровальщик прекращает работу. Более подробно возможные причины такого поведения зловреда рассматриваются в отчёте.
«Анализ вредоносного ПО Mallox, полной истории его развития, а также возможных последствий атак поможет организациям усилить свою защиту. Если своевременно обеспечить необходимые меры безопасности, можно надёжно защитить свои цифровые активы и снизить риск того, что компания станет следующей мишенью атакующих», — комментирует Фёдор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».
Прочитать полный отчёт по вредоносному ПО Mallox можно по ссылке: https://securelist.ru/mallox-ransomware/110314/.
Чтобы усилить безопасность организации, «Лаборатория Касперского» рекомендует: