中國電信安全公司水滴實驗室追蹤發現,2023年11月28日至12月8日,境外進階勒索團夥Mallox疑似利用某OA管理系統、某審批管理系統、某資源管理系統的漏洞攻擊中國境内二十餘個企業、部門。攻擊團夥在對系統植入後門後嘗試内網橫移竊取資料,目前已有多個攻擊對象被資料加密勒索。
所謂“内網橫移” 是指網絡攻擊分子在擷取内網某台機器的控制權之後,以被攻陷主機為跳闆,通過一些方法通路内網域内的其他機器,再依次循環往複,直到獲得整個内部網絡控制權限。
中國電信集團有限公司SOC威脅狩獵專家、中國電信安全公司水滴實驗室研究員彭傳粵向第一财經記者介紹,在對Mallox勒索團夥進行研究後發現,該團夥會篩選高價值的潛在“金主”企業,然後突破企業網際網路入口,進入企業内網絡。該團夥往往會先竊取資料,再進行資料加密勒索贖金,否則在非法平台售賣資料,實作二次勒索。
據水滴實驗室統計,在11月28日至12月8日的攻擊中,Mallox勒索團夥攻擊者已經成功向25家中國企業、部門的網絡植入後門且優先向資料中心和高新科技進行内網橫移攻擊。記者發現,上述受害企業主要覆寫能源、高新科技、資料中心、金融和生物制藥等易産生高價值資料的領域,地域分布上以坐落于廣東、安徽、江蘇、山東的企業為主,受害的廣東企業最多。
“Mallox勒索團夥是以資料竊取、勒索贖金為目的,東部沿海省份經濟比較發達,而廣東省又是科技和數字經濟發展的‘橋頭堡’之一,自然也就成了勒索團夥重點關注的省份。” 彭傳粵分析。
水滴實驗室的研究還發現,在本輪Mallox團夥的攻擊行動中,攻擊的威脅性在12月3日達到頂峰。攻擊時間主要集中在每天的9時—18時,而執行資料加密操作則是集中在淩晨(這導緻運維人員通常難以立即發現異常和及時響應),分析人員指出攻擊團夥對資料加密的時間與國内工作日的休息時間吻合。
“企業中招後會有幾個方面影響,首先,企業核心機密、商業或研發資料失竊并被在境外出售,這将為企業造成難以預估的損失。其次,企業的辦公營運和生産環境可能會受到不可逆的破壞,這對企業的正常經營造成極大影響。有些受攻擊的企業甚至會回到手寫辦公的時代,最後,這種攻擊通常容易造成社會輿情效應。” 彭傳粵告訴記者。
記者了解到,Mallox(又名TargetCompany、FARGO和Tohnichi)原本是一種針對Windows系統的勒索軟體,不過目前大衆傾向于用該軟體的名字來命名使用其發起攻擊的不法分子團夥。該團夥自2021年6月出現以來就一直很活躍,并以利用不安全的MS-SQL伺服器作為攻擊手段來攻擊受害者的網絡而聞名。此前,有迹象表明該組織正在擴大其業務,并在黑客論壇上招募成員。
彭傳粵向記者介紹表示,因為Mallox勒索木馬由于使用的加密方式存在一定的缺陷,是以目前能恢複90%的加密資料。但是Mallox正真的“殺傷力”在于會将重要資料竊取并回傳到境外售賣。“這造成的經濟損失難以估量,嚴重者可能足以使企業面臨絕境。”
針對近期Mallox勒索團夥的活躍,彭傳粵建議企業以較高頻次主動排查網絡威脅并及時更新系統版本,強化生産和辦公網絡隔離,加強重要資料和伺服器備份,收斂不必要的網際網路暴露面等常态化安全營運措施。
“若自身安全營運能力有短闆可以選擇托管式服務。另外,企業也需要加強威脅情報應用和高價值情報的前置狩獵追蹤,實作前置預警效果。” 彭傳粵指出。
(本文圖表均來自于企業)