«Лаборатория Касперского» проанализировала развитие шифровальщика Mallox
Эксперты «Лаборатории Касперского» представили отчёт, в котором проанализировали развитие шифровальщика Mallox. Этот зловред за три года из вредоносного программного обеспечения для точечных атак эволюционировал в ПО, которое распространяется по модели RaaS, «шифровальщик как услуга». В 2023 г. был зафиксирован резкий скачок атак с применением шифровальщиков этого семейства: тогда общее количество обнаруженных образцов превысило 700. Mallox представляет серьёзную угрозу для организаций из разных отраслей по всему миру, в том числе в России.
Как развивался Mallox. Шифровальщик Mallox появился в начале 2021 года и изначально предназначался для целевых атак. Злоумышленники кастомизировали его под каждую жертву, а в сообщении о выкупе вручную указывали название целевой компании и расширение зашифрованных файлов.
В январе 2023 г. атакующие запустили на теневых форумах партнёрскую программу, с помощью которой активно привлекали других злоумышленников для расширения круга жертв. В одном из первых объявлений потенциальным партнёрам, или пентестерам, которые готовы находить целевые компании и проникать в их системы, предлагались выгодные условия. Приоритет отдавался тем, кто уже получили несанкционированный доступ к большому числу организаций и (или) к крупным сетям. Таким злоумышленникам предлагалось 80% прибыли, а тем, у кого нет значительного количества легкодоступных жертв, — 70% от выкупа. Организаторам программы удалось привлечь значительное количество партнёров.
Особенности атак. Для заражения часто используются уязвимости в серверах MS SQL и PostgreSQL. Кроме того, злоумышленники постоянно совершенствуют схемы шифрования, чтобы повысить эффективность атак.
Прежде чем начать процесс шифрования, троянец проверяет языковые настройки операционной системы жертвы. Если на устройстве установлен язык одной из нескольких стран СНГ, шифровальщик прекращает работу. Более подробно возможные причины такого поведения зловреда рассматриваются в отчёте.
«Анализ вредоносного ПО Mallox, полной истории его развития, а также возможных последствий атак поможет организациям усилить свою защиту. Если своевременно обеспечить необходимые меры безопасности, можно надёжно защитить свои цифровые активы и снизить риск того, что компания станет следующей мишенью атакующих», — сказал Фёдор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы усилить безопасность организации, «Лаборатория Касперского» рекомендует: не открывать доступ к RDP из общедоступных сетей без крайней необходимости и использовать надёжные пароли; своевременно обновлять ПО, в том числе серверное программное обеспечение, поскольку при использовании уязвимых версий ПО часто происходит заражение программами-вымогателями; регулярно создавать резервные копии данных и убедиться, что в случае экстренной ситуации к ним можно быстро получить доступ; предоставить ИБ-специалистам доступ к свежим данным об угрозах, чтобы они были в курсе актуальных техник, тактик и процедур злоумышленников, например, с помощью сервисов Threat Intelligence; использовать MDR-сервисы для управляемого обнаружения и реагирования на угрозы, например, Kaspersky Managed Detection and Response. Он помогает обнаружить атаку на ранней стадии и предотвратить её дальнейшее развитие до того, как злоумышленники достигнут своих целей; проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, например, с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform; установить комплексные решения, включающие защиту конечных точек и возможность автоматического реагирования на инциденты, такие как Kaspersky Symphony; использовать защитные технологии, которые регулярно получают награды от независимых тестовых лабораторий.