Μια θυγατρική της λειτουργίας ransomware Mallox, γνωστή και ως TargetCompany, χρησιμοποιεί μια ελαφρώς τροποποιημένη έκδοση του ransomware Kryptina, για να επιτεθεί σε συστήματα Linux.

Δείτε επίσης: Το RansomHub εισάγει το εργαλείο αποφυγής ανίχνευσης EDRKillShifter

Αυτή η έκδοση, σύμφωνα με το SentinelLabs, είναι ξεχωριστή από άλλες παραλλαγές του Mallox που στοχεύουν Linux, όπως αυτή που περιγράφηκε τον περασμένο Ιούνιο από ερευνητές της Trend Micro, υπογραμμίζοντας τις μεταβαλλόμενες τακτικές του οικοσυστήματος ransomware.

Επίσης, αυτό είναι άλλο ένα σημάδι ότι το Mallox ransomware, που στο παρελθόν στόχευε μόνο Windows, βάζει τα συστήματα Linux και VMWare ESXi στο στόχαστρο του, σηματοδοτώντας μια σημαντική εξέλιξη για τη λειτουργία.

Το Kryptina κυκλοφόρησε ως μια χαμηλού κόστους ($500-$800) πλατφόρμα ransomware-as-a-service (RaaS) για τη στόχευση συστημάτων Linux στα τέλη του 2023, αλλά δεν κατάφερε να κερδίσει την κοινότητα του εγκλήματος στον κυβερνοχώρο.

Τον Φεβρουάριο του 2024, ο υποτιθέμενος διαχειριστής της, χρησιμοποιώντας το ψευδώνυμο “Corlys“, διέρρευσε τον πηγαίο κώδικα του Kryptina δωρεάν σε ένα φόρουμ hacking, ο οποίος προφανώς αποκτήθηκε από χάκερ που ενδιαφέρονται να πάρουν στα χέρια τους μια λειτουργική παραλλαγή για Linux.

Αφού μια θυγατρική της Mallox υπέστη ένα λειτουργικό σφάλμα και αποκάλυψε τα εργαλεία της, η SentinelLabs ανακάλυψε ότι το Kryptina είχε υιοθετηθεί και ο πηγαίος κώδικάς του χρησιμοποιήθηκε για τη δημιουργία ωφέλιμων φορτίων με μετονομασία Mallox.

Δείτε ακόμα: Οι hackers Vanilla Tempest στοχεύουν οργανισμούς υγείας με το INC ransomware

Ο ανανεωμένος κρυπτογραφητής, που ονομάζεται “Mallox Linux 1.0“, χρησιμοποιεί τον πηγαίο κώδικα του πυρήνα της Kryptina, τον ίδιο μηχανισμό κρυπτογράφησης AES-256-CBC και ρουτίνες αποκρυπτογράφησης, καθώς και τις ίδιες παραμέτρους δημιουργίας γραμμής εντολών και διαμόρφωσης.

Αυτό δείχνει ότι η θυγατρική Mallox τροποποίησε μόνο την εμφάνιση και το όνομα, αφαίρεσε τις αναφορές στο Kryptina από τα σημειώματα λύτρων,τα σενάρια και τα αρχεία και μετέφερε την υπάρχουσα τεκμηρίωση σε μια “lite” μορφή, αφήνοντας όλα τα υπόλοιπα αμετάβλητα.

Εκτός από το Mallox Linux 1.0, η SentinelLabs βρήκε διάφορα άλλα εργαλεία στον διακομιστή

του παράγοντα απειλών, όπως:
  • Ένα νόμιμο εργαλείο επαναφοράς κωδικού πρόσβασης Kaspersky (KLAPR.BAT)
  • Ένα exploit για το CVE-2024-21338, ένα ελάττωμα κλιμάκωσης προνομίων στα Windows 10 και 11
  • Σενάρια PowerShell κλιμάκωσης προνομίων
  • Payload droppers Mallox που βασίζονται σε Java
  • Αρχεία εικόνας δίσκου που περιέχουν ωφέλιμα φορτία Mallox
  • Φάκελοι δεδομένων για 14 πιθανά θύματα

Επί του παρόντος, παραμένει αβέβαιο εάν η παραλλαγή Mallox Linux 1.0 χρησιμοποιείται από μία μόνο θυγατρική, πολλές θυγατρικές ή όλους τους χειριστές ransomware Mallox μαζί με την παραλλαγή Linux που συζητήθηκε στην προηγούμενη αναφορά.

Δείτε επίσης: Ransomware συμμορίες καταχρώνται το Azure Storage Explorer

Οι επιθέσεις ransomware έχουν γίνει μια σημαντική απειλή στην ψηφιακή εποχή, στοχεύοντας άτομα και οργανισμούς, κρυπτογραφώντας τα δεδομένα τους και απαιτώντας λύτρα για την απελευθέρωσή τους. Αυτές οι επιθέσεις στον κυβερνοχώρο εκμεταλλεύονται συνήθως ευπάθειες σε συστήματα, που συχνά παραδίδονται μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή παραβιασμένους ιστότοπους. Μόλις αναπτυχθεί το ransomware, παρουσιάζεται στα θύματα ένα τελεσίγραφο να πληρώσουν τα λύτρα εντός συγκεκριμένου χρονικού πλαισίου ή να αντιμετωπίσουν μόνιμη απώλεια δεδομένων. Παρά την πιθανή ανάκτηση δεδομένων κατά την πληρωμή, δεν υπάρχει καμία εγγύηση και η πληρωμή των λύτρων μπορεί να ενθαρρύνει περαιτέρω εγκληματική δραστηριότητα. Για την καταπολέμηση του ransomware, είναι σημαντικό για τα άτομα και τις επιχειρήσεις να εφαρμόζουν ισχυρά μέτρα ασφαλείας, συμπεριλαμβανομένων τακτικών αντιγράφων ασφαλείας δεδομένων, ενημερωμένο λογισμικό προστασίας από ιούς και ολοκληρωμένη εκπαίδευση στον κυβερνοχώρο.

Πηγή: bleepingcomputer