Главная страница » IOC
0
8 месяцев
IOC

Mallox Ransomware IOCs - VI

ransomware

Недавно компания Trustwave расследовала инцидент с несанкционированным доступом в облачной среде клиента, который привел к атаке вымогательского ПО Mallox.

Mallox Ransomware

Атаке способствовала неправильная конфигурация сервера, в результате которой система была выставлена на Shodan, что позволило злоумышленникам получить доступ путем перебора на сервер Microsoft SQL клиента. Mallox, также известный как FARGO или TargetCompany, впервые появился в 2021 году, первоначально атакуя незащищенные серверы MS SQL на системах Windows. С тех пор он распространился на среды Linux и VMware ESXi, а его операторы приняли модель Ransomware-as-a-Service (RaaS), чтобы расширить сферу своего влияния.

Ransomware нацелена на различные отрасли промышленности и использует тактику двойного вымогательства, шифруя данные и угрожая их утечкой, если не будет выплачен выкуп. Mallox использует такие сложные методы, как отражающая загрузка для обхода обнаружения и пакетные скрипты для отключения функций безопасности, изменения разрешений на файлы и сокрытия своего присутствия. В данном случае программа шифровала файлы с помощью алгоритма ChaCha20 и подбрасывала в каждую директорию записку с требованием выкупа через TOR для обеспечения анонимности.

Indicators of Compromise

IPv4

  • 80.66.75.44
  • 80.66.76.30
  • 91.215.85.142

URLs

  • http://80.66.75.44/Rpbbvlchy.mp4
  • http://80.66.76.30/Fgeadmt.mp4
  • http://80.66.76.30/Vnohhowgf.mp4
  • http://80.66.76.30/Yephpgs.wav
  • http://80.66.76.30/Yvpvuzho.wav
  • http://80.66.76.30/Zibgsfhbkzt.dat
  • http://91.215.85.142/QWEwqdsvsf/ap.php

MD5

  • 00db5602ec3b7ebd4299064aedd21733
  • 1726416850d3bba46eeb804fae57083d
  • 1f83080a421c95234b8a54a95e507447
  • 9d1a08093886cb0b887bec36c3876a9d
  • b57545cb36ef6a19fdde4b2208ebb225
  • c1dfc103a9d04db26640cd1a461702ae
  • ccf817dcd04c768f8d2def4e4e393375
  • e359ec4832daa9c0d5868ffa1d58e9bd
  • e98b3a8d2179e0bd0bebba42735d11b7
  • fb9bd9ed8e1fb782123a9614d7d46483

SHA256

  • 445d709ea4ae38706a0cc47ffc6c100fb9a354ff1ac718d0c23415524bdfc895
  • 7162415a7e65c042589e67ad9246d0dca89447693b4e92d0f4beca011e1ad4c4
  • 89302b545705212059fb591aeea54b1de8f63f0b7fa2b83e16ac7be94421cefa
  • 972430371601ec17396e7bc7c62d3838cc95bec62bfed893a61919ac411b2bf2
  • ae2030f9b43c5bb039b219327391fda049be38fe092df02f3bbc1832f25a764c
  • c207a7a561ab726fb272b5abd99c4da8e927b5da788210d5dd186023c2783990
  • c5d11d6d9036a7a500242fb080f5a1600cba4c4a639d516ee7b1a6b7e185e0db
  • e657103f40f61395147f31baaca9ada6efb8bfa3da83c078557e3494c2755503
  • e92f5d73a8cb1aa132602d3f35f2c2005deba64df99dcfff4e2219819ab3fffd
  • eb2e795dd56f6ed38b964d6a2d75cbe0c05c4ad8e66786cdbe6ac51c1582499a
Комментарии: 0
Похожие записи
0
9 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
11 дней
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.