Uma nova variante do ransomware Mallox, também conhecido como ransomware “Empresa alvo”, adota um método exclusivo de anexar o nome da empresa alvo como uma extensão de arquivo para criptografar os arquivos e lançar o ataque de ransomware.
O ator da ameaça Mallox distribui ransomware por meio de um downloader anexado a e-mails de spam, visando a Microsoft insegura, voltada para a Internet Servidores SQL.
O ransomware Mallox criptografa arquivos em máquinas comprometidas e normalmente adiciona uma extensão “. mallox” aos arquivos afetados.
Mallox tem como alvo setores como manufatura, energia e serviços públicos, TI e ITES e serviços profissionais.
Vetor de ataque do Mallox Ransomware
O ransomware Mallox inicia o ataque por meio de um anexo malicioso que pode ser um arquivo executável que baixa o Bat Loader de um servidor remoto ou pode contê-lo diretamente.
A nova variante não precisa de um downloader para recuperar a carga do ransomware de um servidor remoto. O carregador de morcegos será entregue diretamente através do acessório em um e-mail de phishing.
Em vez disso, a carga útil do ransomware está contida em um script em lote, que é então injetado em “MSBuild.exe”, sem salvá-lo no disco
Assim que o usuário clicar no anexo, as diversas variáveis definidas em sequências aleatórias no arquivo de script em lote serão combinadas por meio de concatenação para executar comandos.
Em segundo lugar, Conteúdo codificado em Base64 fornecido como um parâmetro é executado para extrair a carga útil do ransomware do BatLoader.
O script consegue essa extração verificando o BatLoader inicial e identificando as linhas com a substring “ck”. Quando uma linha com “ck” é encontrada, o script anexa a substring após “ck” a um objeto usando o método Append.
Este script do PowerShell também descarta um script em lote chamado “killerrr.bat” no diretório% TEMP%, que pode executar as seguintes operações:
- Elimine mais de 600 processos usando o taskkill /IM comando.
- Interrompe mais de 200 serviços usando o parada líquida comando.
- Desativa mais de 13 serviços usando o sc config Service_Name start = desabilitado poder.
- Exclui mais de 200 serviços usando o excluir comando.
- Remove 2 diretórios “C:\Arquivos de Programas (x86)\Kingdee\K3ERP\K3Express\KDHRAPP\client\log” e “C:\Arquivos de Programas\Kingdee\K3ERP\K3Express\Logs”
Finalmente, o binário do ransomware é injetado no MSBuild.exe por meio deste script do PowerShell. Aqui estão as notas sobre ransomware onde os invasores forneceram detalhes sobre as informações de contato e o pedido de resgate para descriptografar os arquivos.
O ransomware Mallox divulgou publicamente detalhes de mais de 20 vítimas de mais de 15 países, sendo a Índia o país mais visado, seguida pelos Estados Unidos, Pesquisadores Cyble disseram.
Para evitar violações de dados devido a ataques de ransomware, deve-se seguir as etapas abaixo
- Realize práticas regulares de backup e mantenha esses backups off-line ou em uma rede separada.
- Mantenha-se atualizado em seu computador, celular e outros dispositivos conectados sempre que possível e pragmático.
- Use um pacote de software antivírus e de segurança de Internet de renome em seus dispositivos conectados, incluindo PC, laptop e celular.
- Evite abrir links e anexos de e-mail não confiáveis sem verificar sua autenticidade.
“Medidas de segurança de e-mail baseadas em IA Proteja sua empresa contra ameaças de e-mail!” – Solicite uma demonstração gratuita.
Indicadores de Compromisso (IOCs)
| Indicadores | Tipo de indicador | Descrição |
| dcf060e00547cfe641eff3f836ec08c8 8054569d8b449e4cd0211cb2499c19f42557fb21 2565158b0a023299c1922423a065b982g5fd1769f1a87ffd2031375a0e893d523318 |
MD5 SHA1 SHA256 |
Carregador de morcego |
| 9a239885dc7044a9289610d58585167b 28b8b4c9fe29ba0e815e525d2529b92217877e85 0de0da8037176c3c9cb403e2865a7699e53ff5a013070132ba512b9dab7a0126 |
MD5 SHA1 SHA256 |
Killerrr.bat |
