Mallox - относительно новый вариант ransomware, впервые появившийся в 2021 году и запустивший партнерскую программу в 2022-м.
Mallo
Как авторы получили исходный код, неясно - они могли написать его с нуля, использовать опубликованный или утечку, либо купить, как они утверждают. Поскольку Mallox - менее известный, а значит, и менее документированный вариант вымогательского ПО по сравнению с Lockbit и Conti, мы решили рассказать о нем в этом посте.
Хотя Mallox начинал как частная группа, проводящая свои собственные кампании, вскоре после создания она запустила партнерскую программу. Интересно, что группа хочет иметь дело только с русскоязычными партнерами, а не с англоязычными, они также не приветствуют новичков. Они также четко указывают, какие организации должны заражать аффилиаты: не менее 10 миллионов долларов дохода, никаких больниц или образовательных учреждений.
Mallox использует идентификаторы аффилиатов, что позволяет отслеживать их активность в течение определенного времени. В 2023 году было 16 активных партнеров, что объясняет всплеск активности, особенно весной и осенью 2023 года, о чем свидетельствуют временные метки PE.
В 2024 году из первоначальных аффилиатов активными оставались только восемь, а новичков не было. Помимо этого, Mallox обладает всеми типичными для Big Game Hunting атрибутами, которые есть и у других групп: сайт утечек, сервер, размещенный на TOR, и другие.
Indicators of Compromise
MD5
- 00dbdf13a6aa5b018c565f4d9dec3108
- 01d8365e026ac0c2b3b64be8da5798f2
