One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8571333 |
| Date de publication | 2024-09-06 14:17:23 (vue: 2024-09-06 15:18:15) |
| Titre | Mallox ransomware: in-depth analysis and evolution |
| Texte | ## Instantané Les chercheurs de liste sécurisés rapportent que [Mallox Ransomware] (https://security.microsoft.com/intel-profiles/7FBE39C998C8A495A1652AC6F8BD34852C00F97DC61278CAFC56DCA1D443131e) a évolué dans une menace de prominit.Actif Depuis 2021, Mallox cible les organisations utilisant des attaques sur mesure.Il a montré une augmentation de l'activité en 2023, avec plus de 700 échantillons détectés et a continué à évoluer en 2024 avec de nouvelles versions fréquentes.Le modèle Ransomware-as-a-Service (RAAS) l'aide à se développer, avec des affiliés recrutés via des forums Web Dark. ## Description Le ransomware de Mallox a non seulement évolué en termes de capacités techniques mais également dans ses stratégies opérationnelles.Le passage à un modèle de ransomware en tant que service (RAAS) en 2022 a considérablement élargi sa portée, permettant à un plus grand nombre d'affiliés de participer à des campagnes de ransomware.Ce modèle a conduit à une augmentation du nombre d'attaques, car les affiliés sont incités par une part des paiements de rançon.Le groupe Mallox a également été stratégique dans son ciblage, en se concentrant sur des pays comme le Brésil, le Vietnam et la Chine, et en évitant les affiliés anglophones.Les opérateurs de Ransomware \\ maintiennent un site de fuite de données et une présence sur les réseaux sociaux pour accroître la pression sur les victimes, ce qui en fait une menace multiforme qui combine la sophistication technique avec les tactiques psychologiques pour maximiser son impact. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Interfaces de numérisation publique, telles que [Microsoft Defender External Attack Surface Management] (https://www.microsoft.com/en-us/security/business/cloud-security/microsoft-defender-external-attack-surface-management),peut être utilisé pour augmenter les données.Le tableau de bord sommaire de la surface d'attaque fait surface les deux actifs tels que les serveurs d'échange qui nécessitent des mises à jour de sécurité et fournissent des étapes de remédiation recommandées. - Secure RDP ou Windows Virtual Desktop Points avec l'authentification multifactorielle (MFA) pour durcir contre le mot de passe ou les attaques de force brute.Si vous n'avez pas de passerelle MFA, activez l'authentification au niveau du réseau (NLA) et assurez-vous que les machines de serveur ont des mots de passe d'administration locaux solides et randomisés. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftDéfenseur Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_ta_learndoc) Fonctionnalités pour empêcher les attaquantsde l'arrêt des services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_LearnDoc), de sorte que le défenseur pourLe point de terminaison peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Enable [investigation and remediation](https://learn.microsoft.com/en-us/defender-end |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 2021 2022 2023 2024 2024** 496d 700 access accessed action active activity ad3c admin advanced advice affiliates against age alert alerts all allow allowing also analysis antivirus any are artifacts assets attack attacker attackers attacks augment authentication automated avoiding based been behind block both brazil breach breaches broadened brute but c6a795a33c27/analystreport campaigns can capabilities cccm changes china classes cloud com/en com/intel com/mallox com/threatanalytics3/05658b6c combines common components content continued copyright countries cover credential criterion customers dark dashboard data dc62 defender delivered depth description desktop detect detected detection detections/hunting detects developing distribution doesn don edr effective enable encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/prevent endpoints english ensure entire equivalent even evolution evolved evolvedinto evolving exchange executable expand external facing features files first focusing following force forums frequent from full gateway group harden hardening has have helps holistic https://learn https://securelist https://security https://sip https://www huge hygiene identify immediate impact incentivized including increase interfaces internet investigation investigations its larger leak learndoc learndoc#block learndoc#use learning led level like list local machine machines maintain majority making malicious mallox mallox/fargo malware: management maximize media meet mfa microsoft might mitigations mode model mtb multifaceted multifactor name=ransom:win64/mallox name=trojan:msil/mallox network new nla non not number ocid=magicti only operational operators organizations over overview part participate passive password passwords payments perimeter permission post posture presence pressure prevalence prevent product profiles/7fbe39c998c8a495a1652ac6f8bd34852c00f97dc61278cafc56dca1d443131e prohibited prominent protection protections provides psychological public queries raas randomized ransom ransom:win64/mallox ransomware ransomware/113529/ ransomware: rapidly rdp reach read recommendations recommended recommends recruited reduce reducing reduction reference references remediate remediation report reproduction require researchers reserved resolve response rights rules run running samples scanning scenes secure security security/microsoft server servers service services settings share shift showed sight significantly since site snapshot social sophistication speaking spray steps stopping strategic strategies strong such summary surface surfaces surge sweeping systems tactics tailored take tamper targeting targets technical techniques terms thereof threat threats tools trojan:msil/mallox trusted turn unknown unless updates us/defender us/security/business/cloud us/wdsi/threats/malware use used using variants versions victims vietnam virtual volume web well when which windows without works written your |
| Tags | Ransomware Malware Tool Threat Technical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.