Mallox
Mallox 勒索软件,也称为 FARGO 或 TargetCompany,首次于 2021 年 5 月出现。最初,Mallox 勒索软件通过利用未受保护的 Microsoft SQL(MS SQL)服务器来针对 Microsoft Windows 系统。此后,它已演变为影响 Linux 系统和 VMware ESXi 环境。近年来,Mallox家族显著扩大了其业务。该集团已转型为勒索软件即服务(RaaS)模式,招募了合作伙伴以扩大其影响力。这一转变导致相关活动显著增加,2023 年中期观察到激增。
首次出现时间:
2021-05
攻击方法:
与许多其他勒索软件威胁行为者一样,Mallox 勒索软件遵循双重勒索趋势:在加密组织文件之前窃取数据,然后威胁要在泄露网站上发布被盗数据,作为说服受害者支付赎金的杠杆。 Mallox 主要通过利用易受攻击且公开暴露的服务获得初始访问权限,特别关注 MS-SQL(Microsoft SQL Server)和 ODBC(开放数据库连接)接口。其常见的攻击目标包括旧版远程代码执行(RCE)漏洞的未修补实例,例如 Microsoft SQL Server 中的 CVE-2019-1068 和 Microsoft SQL Server Reporting Services 中的 CVE-2020-0618。 此外,该组织还频繁采用暴力破解手段,针对暴露于公共互联网的弱配置服务和应用程序进行攻击。在近期的活动中,Mallox 攻击者通过对弱 MS-SQL 接口发起字典暴力攻击,成功获取初始访问权限。不过,据了解,Mallox 的关联团体还使用其他攻击媒介,例如通过网络钓鱼电子邮件投递 Cobalt Strike 和 Sliver 攻击框架。
勒索地址:
平台一、自建暗网网站(Tor)
登录页:
1. 地址:
xxxxxxxxxxxxxxxxxxxen3clrexljoyuklaad.onion/mallox/privateSignin
2. 界面:
3. 解释:
该页面为勒索信中提供的登陆页地址,受害者填写勒索信中的ID后会跳转到谈判界面,ID为唯一值。
谈判页:
1. 地址:
xxxxxxxxxxxxxwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion/dashboard/DEMDRcXdfNoTpkMKKwsE
2. 界面:
3. 解释:
该页面为谈判界面,包含用户ID、数据公开状态、赎金金额、折后金额、黑客的比特币钱包地址以及聊天窗口。用户可以通过聊天窗口与黑客进行文件测试传输和讨价还价。
泄漏数据页:
1. 地址:
xxxxxxxxxxxxx5wdvvwhen3cx4euie73qvlhkhvlrexljoyuklaad.onion
2. 界面:
3. 解释:
该页面展示了部分遭到Mallox勒索家族攻击的用户,通常这些用户市值较高且具有较高知名度。每个展示框对应一个受害者,标注公司名称、公司简介以及数据泄露详情。用户可点击“View”按钮查看数据泄露详情。 在数据泄露详情页面,将显示公司名称、详细介绍,并在右上角标注赎金金额和被勒索的数据量等关键信息。
平台二、邮箱
onionmail.org邮件服务
1. 介绍:
OnionMail 是一个基于 TOR 网络的加密匿名邮件服务器,旨在为用户提供强大的隐私保护和安全通信。它允许用户在无需提供任何个人信息的情况下创建邮箱,并通过 PGP 公钥加密电子邮件,以确保数据安全。 该邮件服务器支持在常规网络和 TOR 网络之间传递消息,利用进出节点透明地转发信息。用户邮箱中的数据以 RSA 非对称加密的方式进行保护,即便服务器密钥泄露,攻击者也无法读取用户的邮件。此外,所有存储的邮件和元数据都经过哈希算法处理,进一步增强了安全性。 OnionMail 还提供反垃圾邮件系统和元数据保护功能,防止网络监听机构追踪用户活动。它支持 POP3 和 SMTP 协议,并通过 VMAT 协议将 .onion 地址翻译成常规互联网邮件地址。
2. 常用邮箱:
| 发现时间 | 邮箱地址 |
|---|---|
| 2023.05 | mallox.resurrection@onionmail.org |
| 2024.06 | mallox@onionmail.org |
加密算法:
AES、3DES、ChaCha20
加密钱包:
来源:Solar团队通过勒索信地址访问Mallox谈判页获取
TM1GUD2cxZU1tuX4N5dUDsur8biwtwifqS
TNuGkZRxnoRe3Xf1iNBc8Uxuuo9hJGvbey
34tb4eSvcAgoHCWR6x3g1WaJG6NNX4AKPw
受害者勒索金额:
Madata Data Collection & Internet Portals
PAUL LANGEN SPEDITION
Measuresoft
Ramdev Chemical Industries
Garuda Indonesia
谈判记录:
地址:
https://www.ransomware.live/nego/mallox/20230427
概述:
受害者与黑客通过聊天框讨论了文件测试和赎金金额的协商。起初,黑客要求100,000美元,但受害者认为价格过高,双方经过多次讨价还价,黑客提供了16%的折扣,最终同意20,000美元作为赎金。这场谈判主要围绕价格谈判展开,双方在多轮沟通中达成了最低20,000美元的最终协议。
结果:
未成功
赎金金额:
未知
变种演化:
| 时间 | 加密后缀 |
|---|---|
| 2021.05 | mallox |
| 2022年初 | mallox2 |
| 2022年末 | mal3 |
| 2023年初 | malx |
| 2023年末 | mallock |
| 2024.03 | rmallox |
| 2024.06 | hmallox |
| 2024.07 | lmallox |
IOC 信息
| 类型 | 详情 | 日期 |
|---|---|---|
| IP | 203.154.255.114 | 2024-02-16 |
| IP | 195.3.146.183 | 2024-02-16 |
| IP | 80.66.75.66 | 2024-02-16 |
| IP | 91.215.85.142 | 2024-02-16 |
| HASH | 88eef50d85157f2e0552aab07cac7e7ec21680f5 | 2023-12-18 |
| HASH | a8886c9417b648944d2afd6b6c4941588d670e3c | 2023-12-18 |
| HASH | 9d182e17f88e26cb0928e8d07d6544c2d17e99f5 | 2023-12-18 |
| HASH | 60784ab7fec3f23066a996f3347b721a09eb677b63dbc5e1bb2bfc920fa3f13d | 2023-12-18 |
| HASH | 5d9cc0bc652b1d21858d2e4ddd35303cd9aeb2a3 | 2023-12-18 |
| HASH | 0e45e8a5b25c756f743445f0317c6352d3c8040a | 2023-12-18 |
| HASH | db3fd39fc826e87fa70840e86d5c12eef0fe0566 | 2023-12-18 |
| HASH | 2a6f632ab771e7da8c551111e2df786979fd895d | 2023-12-18 |
| HASH | 643918830b87691422d6d7bd669c408679411303 | 2023-12-18 |
| HASH | 246e7f798c3bfba81639384a58fa94174a08be80 | 2023-12-18 |
| HASH | b8bd3cc96bfea60525d611e38b4de30c59d82d1df54a873fc9998533945063ff | 2023-12-18 |
| HASH | b7a5068f9d696d6767bfddaea222649ff3541af306f93bce23c0aa6edd892534 | 2023-12-18 |
| HASH | fa450286a4aa25579c8da7684051e7cdda3ba249ff03da71689e5138fd9f5c73 | 2023-12-18 |
| HASH | 64e560f40df031149c745ecaf44ce379aa44373d80a0ee3c4bd0abf7955df88e | 2023-12-18 |
| HASH | 142f2b232fa96e71379894d1bb6cb242c0f33886c1802922163901e70fdc3320 | 2023-12-18 |
| HASH | 9b24ee3dd5f50e65ea15aaa3946e76281c4f9d519524dc659f2bcdfb62241316 | 2023-12-18 |
| HASH | 3fa79012dfdac626a19017ed6974316df13bc6ff | 2023-12-18 |
| HASH | 273e40d0925af9ad6ca6d1c6a9d8e669a3bdc376 | 2023-12-18 |
| HASH | 33c24486f41c3948fbd761e6f55210807af59a1f | 2023-12-18 |
| HASH | 5d0b9521cca0c911d49162e7f416a1463fbaefae | 2023-12-18 |
| HOSTNAME | updt.ps | 2023-12-18 |
| HASH | fb05a6fafc28194d011a909d946b3efa64cdb4cf | 2023-12-18 |
| HASH | ee15c76e07051c10059a14e03d18a6358966e290 | 2023-12-18 |
| HASH | 11d7779e77531eb27831e65c32798405746ccea1 | 2023-12-18 |
| HASH | df29d5c4a750663440ce76d6804ce88e03faeef9591ec0b3b9ca348a6c930b7f | 2023-11-06 |
| HASH | ba1d4e9366de6b9a16fb2ef143d66b3d | 2023-11-04 |
| HASH | be3537fdcf8dc04150a3ae4ad6daf9f7 | 2023-11-04 |
| HASH | b6c220e70880dfefdba9decd189f5a42 | 2023-11-04 |
| HASH | c3c590f44df548ce324bfdaac6ec33a6 | 2023-11-04 |
| HASH | c447bbb8f60df97e6e4bd5d8c68728ed | 2023-11-04 |
| HASH | be971d880e75cd48a669ea9e45f6f022 | 2023-11-04 |
| HASH | b1b42fa300d8f43c6deb98754caf0934 | 2023-11-04 |
| HASH | 992efe1fbf140f13f22f3094e867277d | 2023-11-04 |
| HASH | 99bfaaacebf1b34fdebd4e7ce4070a36 | 2023-11-04 |
| HASH | 98184e867f9eb64612ce3797c259efb5 | 2023-11-04 |
| HASH | a5328247106299a6ac54794c345a0380编号: A5328247106299a6ac54794c345a0380 | 2023-11-04 |
| HASH | 86424c9f1797d280c0fe30ab813eb1da | 2023-11-04 |
| HASH | 7f144e43bd054a6e6ca7294d31274d85 | 2023-11-04 |
| HASH | 74156c103d01abd8d9963c6032c1bb83 | 2023-11-04 |
| HASH | 6ea65106bdd4ab1148028f83956336d1 | 2023-11-04 |
| HASH | 6845db47108d6324b9fcad6707cfcff6 | 2023-11-04 |
| HASH | 67fd732ee69588cb09b316346bc61ee1 | 2023-11-04 |
| HASH | 6707a7a43ffa0c0e8743bed3ea2c13ef | 2023-11-04 |
| HASH | 6290ac7c78fdadb4e8ea5bed199ace9b | 2023-11-04 |
| HASH | a57ea2a7451b3a071617031c19bebcf5 | 2023-11-04 |
| HASH | 9df3e8466b99e4e6ef640d1296975e90 | 2023-11-04 |
| HASH | 94547b455c5926ab4e3104371a4448a4 | 2023-11-04 |
| HASH | b1b42fa300d8f43c6deb98754caf0934 | 2023-11-04 |
| HASH | b6c220e70880dfefdba9decd189f5a42 | 2023-11-04 |
| HASH | aead1b9f42f5abc33901dde0a89ed70f | 2023-11-04 |
| HASH | be3537fdcf8dc04150a3ae4ad6daf9f7 | 2023-11-04 |
| HASH | be971d880e75cd48a669ea9e45f6f022 | 2023-11-04 |
| HASH | ba1d4e9366de6b9a16fb2ef143d66b3d | 2023-11-04 |
| HASH | ab56a34389bd5444a16d7979dfad76f0 | 2023-11-04 |
| HASH | 8c1a1dce9fbaec99a4587fd758c11aed | 2023-11-04 |
| HASH | 5403c42e93344acfeb24875af453fef1 | 2023-11-04 |
| HASH | ebf81ebf55d6387f97e5cd7aff1a7f90 | 2023-11-04 |
| HASH | 98184e867f9eb64612ce3797c259efb5 | 2023-11-04 |
| HASH | 7f144e43bd054a6e6ca7294d31274d85 | 2023-11-04 |
| HASH | a5328247106299a6ac54794c345a0380编号: A5328247106299a6ac54794c345a0380 | 2023-11-04 |
| HASH | aead1b9f42f5abc33901dde0a89ed70f | 2023-11-04 |
| HASH | 9df3e8466b99e4e6ef640d1296975e90 | 2023-11-04 |
| HASH | 94547b455c5926ab4e3104371a4448a4 | 2023-11-04 |
| HASH | 8c1a1dce9fbaec99a4587fd758c11aed | 2023-11-04 |
| HASH | 6e0ff5cdd9085463451709a8e462470f | 2023-11-04 |
| HASH | 6bd93817967cdb61e0d7951382390fa0 | 2023-11-04 |
| HASH | 67fd732ee69588cb09b316346bc61ee1 | 2023-11-04 |
| HASH | 67296fcb1243fc10145bf137e4c379c5 | 2023-11-04 |
| HASH | 5e45cb878abb96168f90c0efa96475c3 | 2023-11-04 |
| HASH | cb1ba70812eda56152bd1e2186acabe9 | 2023-11-04 |
| HASH | 2f82436e491b17c67a3ea0419f0b61de | 2023-11-04 |
| HASH | 23b7b0e6737283bdd1b75f61990adbdb | 2023-11-04 |
| HASH | e39bf90a383548311753a116c346b47a0d63ad9d | 2023-11-04 |
| HASH | 930b5fe5ceeffd3c84be48932b8c94ae4760da5b | 2023-11-04 |
| HASH | 60212fddfb3d5ed6b7bdc0ee08aa6e98faed2a8c | 2023-11-04 |
| HASH | e135c9c231bc82dcc7d4aa90616e8caa | 2023-11-04 |
| HASH | 358d3a87ed243e4c9e95e41525d8a839 | 2023-11-04 |
| HASH | 1b30d16d3e632130ced6dc8b403d4275 | 2023-11-04 |
| HASH | 0c8aa6e8c22fa6a6ee5d575ac336994c08451d6b | 2023-11-04 |
| HASH | 43b24f5108ff16c56e836082da80128fe516d8af | 2023-11-04 |
| HASH | 4791db1e3ba5215a8eec0c9c913e56512d6e64f8 | 2023-11-04 |
| HASH | 3d434b7cc9589c43d986bf0e1cadb956391b5f9a | 2023-11-04 |
| HASH | 4d54af1bbf7357964db5d5be67523a7c | 2023-11-04 |
18363040868
