今天小编分享的科技经验:警惕!新型勒索軟體快速扩张,欢迎阅读。
Mallox(又名 TargetCompany、FARGO 和 Tohnichi)是一种针对 Windows 系统的勒索軟體。自 2021 年 6 月出现以来就一直很活跃,并以利用不安全的 MS-SQL 伺服器作为攻击手段来攻击受害者的网络而闻名。
最近,Unit 42 的研究人员观察到与去年相比,利用 MS-SQL 伺服器传播勒索軟體的 Mallox 勒索軟體活动增加了近 174%。研究人员观察到,Mallox 勒索軟體使用暴力破解、数据泄露和网络掃描器等工具。此外,有迹象表明,该组织正在扩大其业务,并在黑客论坛上招募成员。
Mallox 勒索軟體概述
与许多其他勒索軟體一样,Mallox 勒索軟體使用了双重勒索方法:在加密组织檔案之前窃取数据,然后威胁将窃取的数据发布在泄露网站上,增加勒索筹码。
下图显示了 Tor 浏览器上的 Mallox 勒索軟體网站。尽管这些组织的名称和标识已经被涂黑,但这就是该组织展示其目标泄露数据的方式。
Tor 浏览器上的 Mallox 网站
每个受害者都有一把私钥,可以与该组织互动并协商条款和付款。下图展示了用于交流的工具。
Tor 浏览器上的 Mallox 私人聊天
Mallox 勒索軟體幕后组织声称有数百名受害者被攻击。虽然受害者的实际人数尚不清楚,但分析显示,全球有潜在受害者已经很多,涉及多个行业,包括制造业、法律服务、批发和零售业。
自 2023 年初以来,Mallox 的活动一直在不断增加。根据研究人员追踪分析和从公开威胁情报来源收集的数据,与 2022 年下半年相比,2023 年 Mallox 攻击增加了约 174%。
从 2022 年下半年到 2023 年上半年的 Mallox 攻击尝试
初始访问
自 2021 年出现以来,Mallox 组织一直采用相同的方法获得初始访问权限,该组织以不安全的 MS-SQL 伺服器为目标渗透到网络中。这些攻击从字典暴力攻击开始,尝试针对 MS-SQL 伺服器的已知或常用密码列表。在获得访问权限后,攻击者使用命令行和 PowerShell 从远程伺服器下载 Mallox 勒索軟體负载。
响应由 Cortex XDR 和 XSIAM 引发的 Mallox 勒索軟體字典暴力攻击而引发的警报示例
Mallox 勒索軟體感染的命令行示例:
该命令行执行以下操作:
从 hxxp://80.66.75 [ . ] 36/aRX.exe 下载勒索軟體有效负载,并保存为 tzt.exe;
运行名为 updt.ps1 的 PowerShell 脚本;
接下来,有效负载继续执行以下操作(未在上面显示的命令行脚本中显示):
下载另一个名为 system.bat 的檔案,并将其保存为 tzt.bat;
"tzt.bat" 檔案用于创建名为 "SystemHelp" 的用户,并启用 RDP 協定;
使用 Windows 管理工具(WMI)执行勒索軟體有效负载 tzt.exe;
下图显示了 Cortex XDR 和 XSIAM 如何检测 SQL 伺服器利用的第一阶段。
SQL 伺服器利用过程(仅限于测试目)
勒索軟體执行
在进行任何加密之前,勒索軟體有效负载会尝试多种操作以确保勒索軟體成功执行,例如:
尝试使用 sc.exe 和 net.exe 停止和删除 sql 相关的服务。这样,勒索軟體就可以访问并加密受害者的檔案数据。
试图删除卷影,使檔案加密后更难被恢复。
删除卷影副本的警报,由 Cortex XDR 和 XSIAM 引发
试图使用微软的 wevtutil 命令行工具清除应用程式、安全、設定和系统事件日志,以阻止检测和取证分析工作;
使用 Windows 内置的 takeown.exe 命令修改檔案权限,拒绝访问 cmd.exe 和其他关键系统进程;
防止系统管理员使用 bcdedit.exe 手动加载系统映像恢复功能;
试图使用 taskkill.exe 终止与安全相关的进程和服务,以逃避检测;
试图绕过检测反勒索軟體产品,如果存在,通过删除其系統資料庫项。下图是整个过程的一个示例。
删除检测系統資料庫项
如下图所示,勒索軟體的流程树中显示了上述一些活动:
攻击的完整进程树,如 Cortex XDR 和 XSIAM 所示(仅为检测模式)
这个调查的 Mallox 勒索軟體示例使用 ChaCha20 加密算法对檔案进行加密,并为加密的檔案添加 .malox 扩展名。除了使用受害者的名字作为扩展名之外,观察到的其他檔案扩展名还有:.FARGO3、.colouse、.avast、.bitenc 和 .xollam。有关 Cortex XDR 中加密檔案的示例如下图所示。
Cortex XDR 检测到的 Mallox 勒索軟體加密的檔案示例(仅为检测模式)
Mallox 在受害者驱动器的每个目录中都留下了一张勒索信,其中解释了感染情况并提供了联系信息,如下图所示。
Mallox 勒索信示例
执行后,恶意軟體会自行删除。
根据其一名成员的说法,Mallox 是一个相对较小且封闭的组织。然而,该组织似乎正在通过招募附属公司来扩大业务。
在这次采访几天后,一位名叫 Mallex 的用户在黑客论坛 RAMP 上发帖称,Mallox 勒索軟體组织正在为一个新的 Mallox 軟體即服务(RaaS)分支计划招募分支机构,如下图所示。
用户 Mallx 在 RAMP 上的帖子
早在 2022 年 5 月,一位名叫 RansomR 的用户在著名的黑客论坛上发帖称,Mallox 组织正在寻找加入该组织的附属公司。
RansomR 在 null 上的帖子
如果他们的计划取得成功,Mallox 组织可能会扩大其覆盖范围,以攻击更多的组织。
总结
Mallox 勒索軟體组织在过去几个月里更加活跃,如果招募附属机构成功,他们最近的招募工作可能使他们能够攻击更多的组织。
组织应该时刻保持高度警惕,并准备好防御勒索軟體的持续威胁。这不仅适用于 Mallox 勒索軟體,也适用于其他勒索軟體。
建议确保所有面向互联网的应用程式都配置正确,所有系统都打了补丁并尽可能更新。这些措施将有助于减少攻击面,从而限制攻击。
部署 XDR/EDR 解决方案来执行内存检查和检测进程注入技术。执行攻击搜索,寻找与安全产品防御逃避、服务帐户横向移动和網域管理员相关的用户行为相关的异常行为的迹象。
缓解措施
Palo Alto Networks Cortex XDR 检测并阻止 Mallox 勒索軟體执行的檔案操作和其他活动。
阻止 Mallox 执行的终端用户通知
由 Cortex XDR 和 XSIAM 引发的可疑檔案修改警报(仅为检测模式)
SmartScore 是一个独特的机器学习驱动的评分引擎,它将安全调查方法及其相关数据转换为混合评分系统,对涉及 Mallox 勒索軟體的事件进行了 100 分的评分。这种类型的评分可以帮助分析人员确定哪些事件更紧急,并提供评估原因,帮助确定优先级。
关于 Mallox 勒索軟體事件的 SmartScore 信息
针对 Mallox 勒索軟體的安全产品要具有以下功能,才能起到有效保护:
识别已知的恶意样本;
高级 URL 过滤和 DNS 安全将与该组织关联的網域识别为恶意;
通过分析来自多个数据源(包括终端、网络防火墙、Active Directory、身份和访问管理解决方案以及云工作负载)的用户活动来检测基于用户和凭据的威胁。另外,还可以通过机器学习建立用户活动的行为概况。通过将新活动与过去的活动和预期行为进行比较,检测到攻击的异常活动。