Se observó que un afiliado del ataque de ransomware Mallox, también conocido como TargetCompany, atacaba sistemas Linux utilizando una versión ligeramente modificada del ransomware Kryptina.
Según SentinelLabs, esta versión es independiente de otras variantes de Mallox dirigidas a Linux, como la descrita por los investigadores de Trend Micro en junio pasado, y representa un cambio de táctica en el ecosistema de ransomware.
Esta es también otra señal de que el malware Mallox, que anteriormente solo apuntaba a Windows, ahora apunta a sistemas Linux y VMWare ESXi, lo que indica una evolución significativa en esta actividad.
De Kryptina a Marox
Kryptina se lanzó a finales de 2023 como una plataforma de ransomware como servicio (RaaS) de bajo costo ($500-$800) dirigida a sistemas Linux, pero no logró ganar terreno en la comunidad de delitos cibernéticos.
En febrero de 2024, su presunto administrador filtró el código fuente de Kryptina de forma gratuita en un foro de piratería utilizando el alias “Corlys”. El código fuente parece haber sido obtenido por atacantes de ransomware aleatorios con la esperanza de obtener una variante de Linux que funcione.
El actor de amenazas filtra el código fuente
Fuente: SentinelLabs
Después de que un afiliado de Mallox sufriera un error operativo y la herramienta se hiciera pública, SentinelLabs descubrió que Kryptina había sido adoptada en el proyecto y su código fuente se había utilizado para crear una carga útil de Mallox renombrada.
Código fuente de Kryptina en servidor público
Fuente: SentinelLabs
Apodado “Mallox Linux 1.0”, el programa criptográfico renombrado utiliza el código fuente principal de Kryptina, el mismo mecanismo de cifrado AES-256-CBC y rutinas de descifrado, y el mismo generador de línea de comandos y parámetros de configuración.
Esto significa que los afiliados de Mallox cambiaron la apariencia y el nombre, eliminaron las referencias a Kryptina de las notas, scripts y archivos de rescate, reemplazaron la documentación existente con un formato “ligero” y dejaron todo lo demás sin cambios.
Carta de demanda de rescate de Mallox Linux 1.0
Fuente: SentinelLabs
Además de Mallox Linux 1.0, SentinelLabs descubrió una variedad de herramientas en los servidores del actor de amenazas, que incluyen:
Herramienta de restablecimiento de contraseña original de Kaspersky (KLAPR.BAT) Vulnerabilidad de elevación de privilegios de Windows 10 y 11 CVE-2024-21338 Explotación de escalada de privilegios Script de PowerShell Basado en Java Mallox Payload Dropper Archivo de imagen de disco que contiene Mallox Payload 14 Carpeta de datos de posibles víctimas
Actualmente se desconoce si la variante Mallox Linux 1.0 está siendo utilizada por un solo afiliado, varios afiliados o todos los operadores de ransomware Mallox junto con las variantes de Linux analizadas en informes anteriores.
https://www.bleepingcomputer.com/news/security/new-mallox-ransomware-linux-variant-based-on-leaked-kryptina-code/