什么是 Mallox 勒索软件?
Mallox 勒索软件自 2021 年中期以来一直活跃,2022 年 9 月至 12 月期间活动激增。也称为“TargetCompany”或“Fargo”勒索软件,这波活动也持续到 2023 年。该组织专注于多重勒索,对受害者的数据进行加密,并威胁将其发布到基于 TOR 的公共网站上。截至 2023 年 6 月,Mallox 维护着基于 TOR 的受害者博客。
Mallox 勒索软件的目标是什么?
Mallox 针对大型企业,不会基于地理位置、行业类型或其他因素歧视潜在受害者。
Mallox 勒索软件如何运作?
Mallox 有效负载通常是基于 .NET、.EXE 或 .DLL 文件,可以通过各种方法传播,包括暴露的 MS-SQL 服务器以及网络钓鱼或垃圾邮件。它使用 AES-128 和 ChaCha20 的组合进行加密,并终止一系列进程和服务,而不试图隐藏其恶意活动。
该恶意软件可以通过多种方法传播。许多 Mallox 活动,尤其是早期活动,通过字典或暴力式攻击来针对暴露的 MS-SQL 服务器。其他活动利用了网络钓鱼或垃圾邮件,其中包含指向恶意负载的链接。Mallox 的大多数变体都利用 AES-128 和 ChaCha20 的组合来有效地实现文件加密。
启动后,Mallox 尝试按名称发现并终止大量硬编码进程和服务。这一切都是在没有试图隐藏恶意活动的情况下完成的,从而使受害设备的用户可以看到所有这些活动。Mallox 有效负载包含要从加密过程中排除的进程和路径的硬编码列表。
检测 Mallox 勒索软件,采取多层方法非常重要,其中包括以下步骤:
使用能够检测和阻止已知勒索软件变体的反恶意软件软件或其他安全工具。这些工具可能使用签名、启发式或机器学习算法来识别和阻止可疑文件或活动。
监视网络流量并查找妥协迹象,例如异常的网络流量模式或与已知命令和控制服务器的通信。
定期进行安全审计和评估,以识别网络和系统漏洞,并确保所有安全控制措施到位并正常运行。
对员工进行网络安全最佳实践教育和培训,包括识别和报告可疑电子邮件或其他威胁。
实施强大的备份和恢复计划,以确保组织拥有数据副本并可以在遭受攻击时恢复数据
可以采取以下几个步骤来降低 Mallox 勒索软件攻击的风险:
教育员工:应对员工进行勒索软件风险以及如何识别和避免网络钓鱼电子邮件、恶意附件和其他威胁的教育。应鼓励他们报告可疑电子邮件或附件,并避免打开它们或单击其中的链接或按钮。
实施强密码:组织应为所有用户帐户实施强、唯一的密码,并应定期更新和轮换这些密码。密码长度应至少为 8 个字符,并且应包含大小写字母、数字和特殊字符的组合。
启用多重身份验证:组织应为所有用户帐户启用多重身份验证 (MFA),以提供额外的安全层。这可以通过使用移动应用程序(例如 Google Authenticator 或 Microsoft Authenticator)或通过使用物理令牌或智能卡来完成。
更新和修补系统:组织应定期更新和修补其系统,以修复任何已知漏洞,并防止攻击者利用它们。这包括更新所有设备上的操作系统、应用程序和固件,以及禁用任何不必要或未使用的服务或协议。
实施备份和灾难恢复:组织应实施定期备份和灾难恢复 (BDR) 流程,以确保能够从勒索软件攻击或其他灾难中恢复。这包括创建所有数据和系统的定期备份,并将这些备份存储在安全的异地位置。应定期测试备份,以确保它们正常工作,并且可以快速轻松地恢复。
