Mallox

Überblick

Bei Mallox handelt es sich um eine Ransomware, die zur Verschlüsselung der Daten ihrer Opfer auf eine Kombination mehrerer kryptografischer Verfahren setzt. Zum Einsatz kommen dabei die Algorithmen ChaCha20, AES-128 sowie Curve25519, die zusammen sowohl die eigentliche Verschlüsselung der Dateien als auch die Absicherung der verwendeten Schlüssel übernehmen. Charakteristisch für diese Schadsoftware ist die Vergabe der Dateiendung an die verschlüsselten Dateien: Statt einer festen, immer gleichen Endung wird die Endung individuell auf den Namen des kompromittierten Unternehmens gesetzt (.<target_company>). Dadurch lässt sich ein Befall häufig unmittelbar einem konkreten Angriff zuordnen, da die Endung den Namen der betroffenen Organisation trägt. Mallox ist bereits über einen längeren Zeitraum aktiv und richtet sich gegen Einrichtungen unterschiedlicher Branchen. Das Schadprogramm verschlüsselt die Daten auf den befallenen Systemen und macht sie für die betroffenen Organisationen unbrauchbar, um anschließend Druck zur Zahlung eines Lösegeldes aufzubauen.

Taktiken & Vorgehen

Im Zuge ihrer Angriffe nutzt die Gruppe hinter Mallox öffentlich zugängliche Datei-Sharing- und Filehosting-Dienste, um Daten von den kompromittierten Systemen abzuziehen. Beobachtet wurde dabei der Einsatz der Dienste „Dropmefiles“, „File.io“ sowie „Sendspace“. Über diese Plattformen werden zuvor erbeutete Daten aus dem Netzwerk der Opfer ausgeleitet, ohne dass eine eigene Infrastruktur für die Exfiltration aufgebaut werden muss. Die Verwendung legitimer, frei verfügbarer Filehosting-Angebote erschwert die Erkennung, da der ausgehende Datenverkehr zu solchen Diensten auf den ersten Blick unauffällig wirkt und sich von regulärer Nutzung nur schwer unterscheiden lässt. Auf diese Weise verbindet die Gruppe die Verschlüsselung der lokalen Daten mit dem vorherigen Abfluss sensibler Informationen.

Schutzmaßnahmen

Der ausgehende Datenverkehr zu öffentlichen Datei-Sharing- und Filehosting-Diensten wie „Dropmefiles“, „File.io“ und „Sendspace“ sollte überwacht und, soweit betrieblich nicht erforderlich, auf Netzwerkebene unterbunden werden. Verbindungen zu derartigen Plattformen sollten protokolliert und auf ungewöhnlich große oder untypische Datenmengen hin ausgewertet werden, um einen Abfluss sensibler Daten frühzeitig zu erkennen. Ergänzend sollten Mechanismen zur Erkennung von Datenexfiltration eingesetzt werden, damit ein unautorisiertes Ausleiten von Informationen über legitime Hosting-Dienste auffällt, bevor es zur abschließenden Verschlüsselung der Systeme kommt.