Mallox: nuova variante del ransomware colpisce sistemi Linux

Un'affiliata dell'operazione ransomware Mallox, nota anche come TargetCompany, è stata individuata mentre utilizzava una versione leggermente modificata del ransomware Kryptina per attaccare i sistemi Linux. Secondo SentinelLabs, questa versione è separata dalle altre varianti di Mallox che prendono di mira Linux. Inoltre, questo è un altro segno che Mallox (in precedenza malware solo per Windows), sta prendendo di mira i sistemi Linux e VMWare ESXi. Kryptina è stata lanciata alla fine del 2023 come piattaforma ransomware-as-a-service (RaaS) a basso costo (500-800 dollari) per colpire i sistemi Linux. Tuttavia, non è riuscita a guadagnare terreno nella comunità dei criminali informatici. A febbraio 2024, il suo presunto amministratore, usando l'alias "Corlys", ha fatto trapelare gratuitamente il codice sorgente di Kryptina sui forum di hacking. Con buona probabilità, questo è stato acquisito da attori ransomware casuali interessati a mettere le mani su una variante Linux funzionante.

Mallox: Kryptina utilizzata per creare payload Mallox rinominati

Dopo che un'affiliata di Mallox ha subito un errore operativo e ha esposto i propri strumenti, SentinelLabs ha scoperto che Kryptina era stata adottata dal progetto e il suo codice sorgente era stato utilizzato per creare payload Mallox rinominati. Il crittografo rinominato, "Mallox Linux 1.0", utilizza il codice sorgente principale di Kryptina, lo stesso meccanismo di crittografia AES-256-CBC e le stesse routine di decifratura. Inoltre, utilizza lo stesso generatore di riga di comando e gli stessi parametri di configurazione. Ciò indica che l'affiliata Mallox ha modificato solo l'aspetto e il nome. Infatti, ha rimosso i riferimenti a Kryptina su note di riscatto, script e file e ha trasposto la documentazione esistente in una forma "lite". Infine, ha lasciato tutto il resto invariato.

Oltre a Mallox Linux 1.0, SentinelLabs ha trovato vari altri strumenti sul server dell'autore della minaccia. Questi includono uno strumento legittimo di reimpostazione della password Kaspersky (KLAPR.BAT) e un exploit per CVE-2024-21338. Vi sono poi vulnerabilità di escalation dei privilegi su Windows 10 e 11, script PowerShell di escalation dei privilegi, dropper di payload Mallox basati su Java, file ISO contenenti payload Mallox e cartelle dati per 14 potenziali vittime. Attualmente, non è chiaro se la variante Mallox Linux 1.0 venga utilizzata da un singolo affiliato, da molti o da tutti gli operatori del ransomware. Per saperne di più sarà necessario attendere ulteriori sviluppi, che verranno probabilmente condivisi nelle prossime settimane.