„Mallox“ išpirkos reikalaujančios programinės įrangos operacijos filialas, taip pat žinomas kaip „TargetCompany“, buvo pastebėtas naudojant šiek tiek pakeistą „Kryptina“ išpirkos reikalaujančios programos versiją, kad atakuotų „Linux“ sistemas.
„SentinelLabs“ teigimu, ši versija yra atskirta nuo kitų „Linux“ taikomų „Mallox“ variantų, tokių kaip praėjusį birželį „Trend Micro“ tyrėjų aprašytos versijos, išryškinanti „ransomware“ ekosistemos keitimo taktiką.
Be to, tai dar vienas ženklas, kad „Mallox“, anksčiau buvusi tik „Windows“ kenkėjiška programa, „Linux“ ir „VMWare ESXi“ sistemas iškelia į savo taikiklį, o tai reiškia reikšmingą operacijos evoliuciją.
Nuo Kriptinos iki Mallox
2023 m. pabaigoje „Kryptina“ buvo pristatyta kaip pigi (500–800 USD) „ransomware-as-a-service“ (RaaS) platforma, skirta „Linux“ sistemoms nukreipti, tačiau jai nepavyko įgyti traukos kibernetinių nusikaltimų bendruomenėje.
2024 m. vasario mėn. tariamas jos administratorius, naudodamas slapyvardį „Corlys“, nemokamai nutekino „Kryptina“ šaltinio kodą įsilaužimo forumuose, kurį, tikėtina, įsigijo atsitiktiniai išpirkos programų aktoriai, norintys gauti veikiantį „Linux“ variantą.
Šaltinis: SentinelLabs
Po to, kai „Mallox“ filialas patyrė veiklos klaidą ir atskleidė savo įrankius, „SentinelLabs“ išsiaiškino, kad projekte buvo panaudota „Kryptina“, o jos šaltinio kodas buvo panaudotas kuriant „Mallox“ naudingąsias apkrovas.
Šaltinis: SentinelLabs
Naujasis šifruotojas, pavadintas „Mallox Linux 1.0“, naudoja pagrindinį „Kryptina“ šaltinio kodą, tą patį AES-256-CBC šifravimo mechanizmą ir iššifravimo procedūras, taip pat tuos pačius komandų eilutės kūrimo ir konfigūracijos parametrus.
Tai rodo, kad „Mallox“ filialas pakeitė tik išvaizdą ir pavadinimą, pašalino nuorodas į „Kryptina“ iš išpirkos užrašų, scenarijų ir failų, o esamą dokumentaciją perkėlė į „supaprastintą“ formą, o visa kita liko nepakeista.
Šaltinis: SentinelLabs
Be „Mallox Linux 1.0“, „SentinelLabs“ grėsmės veikėjo serveryje rado įvairių kitų įrankių, įskaitant:
- Teisėtas „Kaspersky“ slaptažodžio nustatymo iš naujo įrankis (KLAPR.BAT)
- CVE-2024-21338 išnaudojimas, privilegijų eskalavimo trūkumas sistemoje Windows 10 ir 11
- Privilegijų eskalavimo PowerShell scenarijai
- „Java“ pagrindu veikiantys „Mallox“ naudingos apkrovos lašintuvai
- Disko vaizdo failai su Mallox naudingomis apkrovomis
- Duomenų aplankai 14 potencialių aukų
Šiuo metu lieka neaišku, ar Mallox Linux 1.0 variantą naudoja vienas filialas, keli filialai, ar visi Mallox ransomware operatoriai kartu su Linux variantu, aptartu ankstesnėje ataskaitoje.
