Вымогательский вирус Mallox атакует корпоративный сектор Индии, США и других стран

Исследователи компании Cyble обнаружили новую вариацию вымогательского вируса «Mallox», также известного как «TargetCompany», который использует уникальный метод доставки и запуска вредоносного ПО на целевых устройствах, а также новый принцип присвоения имён зашифрованным файлам. Вредонос нацелен на такие отрасли, как производство, энергетика и коммунальные услуги, IT и профессиональные услуги.

Цепочка заражения начинается со зловредного вложения на электронной почте, которое может либо сразу содержать исполняемый файл вредоноса, либо содержать загрузчик BatLoader, скачивающий Mallox с C2-сервера преступников, и устанавливающий его затем в систему жертвы благодаря ещё нескольким скриптам и вредоносным файлам.

Однако в отличие от предыдущих методов заражения, в новых версиях Mallox полезная нагрузка программы-вымогателя содержится в пакетном скрипте, который затем вводится в «MSBuild.exe» без сохранения на диске.

Схема атаки Mallox

Скрипт PowerShell, используемый злоумышленниками, поддерживает отключение около 600 различных процессов, способных помешать работе вредоноса и около 200 системных служб. Когда площадка для работы шифровальщика расчищена, вредонос начинает активно шифровать личные данные жертвы.

В прошлых итерациях Mallox зашифрованные файлы получали расширения, совпадающие с названием атакуемой компании. В новых версиях вредоноса хакеры вернулись к привычному «.malox» или «.mallox», в зависимости от конкретного экземпляра вируса.

Зашифрованные файлы жертвы

После завершения процесса шифрования вредонос размещает в прямой видимости жертвы записку с требования выкупа под названием «FILE RECOVERY.txt» следующего содержания:

Записка с выкупом Mallox

Вирус Mallox уже успел публично раскрыть похищенные данные более чем 20 компаний из 15 разных стран. Причем Индия является наиболее атакуемой страной, за которой следуют Соединенные Штаты.

Внедрение новых методов заражения говорит о том, что киберпреступная группировка, ответственная за программу-вымогатель Mallox, активно изменяет свои TTP, повышая скрытность и эффективность своей вредоносной деятельности.

Для предотвращения возможных кибератак и потери важных данных, исследователи Cyble рекомендуют следующее:

• использовать надёжное антивирусное решение и проверенное программное обеспечение на всех своих устройствах, включая ПК, ноутбук и смартфон;
• своевременно обновлять программное обеспечение на каждом устройстве;
• воздерживаться от открытия ненадежных ссылок и вложений электронной почты без проверки их подлинности;
• регулярно делать резервные копии важных данных и хранить их автономно или в отдельной сети.

Только соблюдение этих и других популярных рекомендаций по улучшению кибербезопасности поможет избежать утрату ценных и конфиденциальных данных, предотвратить финансовые и репутационные потери, а также не тормозить работу всего предприятия по вине киберпреступников. Как никак, вымогательские атаки до сих пор остаются одной из самых страшных и разрушительных угроз для любого бизнеса.