Mallox勒索病毒威胁加剧 360终端安全产品拦截查杀

理财鱼小提示：Mallox勒索病毒威胁加剧 360终端安全产品拦截查杀

近日，360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击，包括Spring Boot、Weblogic、通达OA等，在拿下目标设备权限后还会尝试在内网中横向移动，获取更多设备的权限，危害性极大。360提醒用户加强防护，并建议使用360终端安全产品提供的安全补丁，防御查杀该病毒。

360安全大脑监测历史显示，Mallox（又被称作Target Company）于2021年10月进入中国，早期主要通过SQLGlobeImposter渠道进行传播（通过获取到数据库口令后，远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索病毒的传播量逐渐下降，Mallox就逐渐占据了这一渠道。

除了传播渠道之外，360通过分析近期攻击案例发现，攻击者会向Web应用中植入大量的WebShell，而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

而Mallox勒索病毒的狡猾程度不止于此。调查发现，Mallox家族经历了三个发展阶段，每个阶段都会通过改变一些特征来区分受害者并躲避安全人员的追踪。第一阶段，攻击者在部署Mallox勒索病毒时，会将扩展名命名为被攻击企业的名称或其所属的行业名，如tohnichi、artiis、herrco、architek等，同时在勒索信息中提供暗网地址和ID用以与黑客联系。

第二阶段，为了混淆安全研究人员对该家族攻击事件的跟踪，攻击者修改了之前包含目标企业名字的扩展名，变为周期性更换固定通用扩展名，同时攻击者开始停止提供暗网网址和ID，转为提供邮件地址供受害者进行联系。历经两次改变后，第三阶段攻击者再次改变其特点，将被加密文件扩展名修改为类似acookies-xxxxxxxx格式对受害者进行区分。

不过，Mallox勒索病毒不断变换特征，并不能骗过360安全大脑。在发现病毒后，360终端安全产品快速进行了响应，通过上新安全补丁帮助政企客户保护财产安全。在此，360郑重提示，存在相应风险的用户，应尽快部署360终端安全产品，以应对此类攻击问题。

>相关《 Mallox勒索病毒威胁加剧 360终端安全产品拦截查杀》内容：

狗的嗅觉非常灵敏，它可以嗅出极低水平的气味，远远超出人类发明的大多数科技，可以帮助人们定位爆炸物或非法物品。但你能想到吗，狗还能用来发现新冠病毒。 据@智慧科技迷，近日，发表在《BMJ全球健康》杂志上的一篇文章显示，芬兰的一个研究团队发现，...【继续阅读】

据央视新闻17日消息，当地时间16日，俄罗斯总统普京表示，美国在乌克兰建生物实验室研究病毒传播。同时，集体安全条约组织首脑峰会在莫斯科举行，会后发表的集安组织首脑声明强调，将确保该组织的边界安全。 普京：美国在乌克兰建生物实验室研究病毒传播...【继续阅读】

理财鱼小提示：为什么60岁以上老年人更要积极接种新冠病毒疫苗？ 接种疫苗 做好防护 新冠病毒全人群易感，而在易感人群当中，老人和有基础疾病人员比较脆弱。因为老年人本身的免疫功能就相对于年轻人要弱一些，而且大多有各种基础疾病，一旦发生感染，相较于...【继续阅读】