Mallox представляет серьезную угрозу для организаций Казахстана
Этот зловред за три года из вредоносного программного обеспечения для точечных атак эволюционировал в ПО, которое распространяется по модели RaaS, "шифровальщик как услуга".
фото: anti-malware.ru
Эксперты "Лаборатории Касперского" представили отчет, в котором проанализировали развитие шифровальщика Mallox, передает СА.
Этот зловред за три года из вредоносного программного обеспечения для точечных атак эволюционировал в ПО, которое распространяется по модели RaaS, "шифровальщик как услуга". В 2023 году был зафиксирован резкий скачок атак с применением шифровальщиков этого семейства: тогда общее количество обнаруженных образцов превысило 700.
Mallox представляет серьезную угрозу для организаций из разных отраслей по всему миру, в том числе в Казахстане.
Как развивался Mallox
Шифровальщик Mallox появился в начале 2021 года и изначально предназначался для целевых атак. Злоумышленники кастомизировали его под каждую жертву, а в сообщении о выкупе вручную указывали название целевой компании и расширение зашифрованных файлов.
В январе 2023 года атакующие запустили на теневых форумах партнерскую программу, с помощью которой активно привлекали других злоумышленников для расширения круга жертв. В одном из первых объявлений потенциальным партнерам, или "пентестерам", которые готовы находить целевые компании и проникать в их системы, предлагались выгодные условия.
Приоритет отдавался тем, кто уже получили несанкционированный доступ к большому числу организаций и (или) к крупным сетям. Таким злоумышленникам предлагалось 80% прибыли, а тем, у кого нет значительного количества легкодоступных жертв, — 70% от выкупа. Организаторам программы удалось привлечь значительное количество партнеров.
Особенности атак
Для заражения часто используются уязвимости в серверах MS SQL и PostgreSQL. Кроме того, злоумышленники постоянно совершенствуют схемы шифрования, чтобы повысить эффективность атак.
Прежде чем начать процесс шифрования, троянец проверяет языковые настройки операционной системы жертвы. Если на устройстве установлен язык одной из нескольких стран СНГ, шифровальщик прекращает работу. Более подробно возможные причины такого поведения зловреда рассматриваются в отчете.
"Анализ вредоносного ПО Mallox, полной истории его развития, а также возможных последствий атак поможет организациям усилить свою защиту. Если своевременно обеспечить необходимые меры безопасности, можно надежно защитить свои цифровые активы и снизить риск того, что компания станет следующей мишенью атакующих", — комментирует Федор Синицын, эксперт по кибербезопасности "Лаборатории Касперского".
Прочитать полный отчет по вредоносному ПО Mallox можно по ссылке.
Как усилить безопасность организации
- не открывать доступ к RDP из общедоступных сетей без крайней необходимости и использовать надежные пароли;
- своевременно обновлять ПО, в том числе серверное программное обеспечение, поскольку при использовании уязвимых версий ПО часто происходит заражение программами-вымогателями;
- регулярно создавать резервные копии данных и убедиться, что в случае экстренной ситуации к ним можно быстро получить доступ;
- предоставить ИБ-специалистам доступ к свежим данным об угрозах, чтобы они были в курсе актуальных техник, тактик и процедур злоумышленников, например с помощью сервисов Threat Intelligence;
- использовать MDR-сервисы для управляемого обнаружения и реагирования на угрозы, например Kaspersky Managed Detection and Response. Он помогает обнаружить атаку на ранней стадии и предотвратить её дальнейшее развитие до того, как злоумышленники достигнут своих целей;
- проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- установить комплексные решения, включающие защиту конечных точек и возможность автоматического реагирования на инциденты, такие как Kaspersky Symphony;
- использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий.
Материалы по теме:
Злоумышленники крадут личные данные под видом представителей компаний из Дубая
В Казахстане участились случаи, когда мошенники в WhatsApp маскируются под госсотрудников
Мошенники получили логины и пароли для входа на 443 тыс. сайтов по всему миру
Любое использование материалов допускается только при наличии гиперссылки на cronos.asia.
Подписывайтесь на Telegram-канал Central Asia Cronos и первыми получайте актуальную информацию!