Группа, связанная с кампанией Mallox, использует модифицированную версию шифровальщика Kryptina для атак на Linux-системы
25/09/24
Mallox, который ранее был ориентирован только на Windows, с недавних пор нацелился на Linux и VMWare ESXi, что указывает на значительное развитие операции. Использование Kryptina, которая ранее предлагалась как недорогой RaaS-сервис, стало новым шагом в эволюции угрозы.
Платформа Kryptina была запущена в конце 2023 года для атак на Linux и предлагалась за небольшие деньги — от $500 до $800 долларов, пишет Securitylab. Однако она не смогла завоевать популярность среди киберпреступников. Уже в феврале 2024 года предполагаемый администратор платформы, выступающий под псевдонимом «Corlys», выложил исходный код Kryptina на хакерских форумах. Этим воспользовались другие киберпреступники, в том числе и партнеры Mallox.
После того как одна из групп, связанных с Mallox, допустила операционную ошибку, эксперты из SentinelLabs обнаружили, что исходный код Kryptina был использован для создания новой версии шифровальщика под названием «Mallox Linux 1.0». Несмотря на ребрендинг и изменение внешнего вида, функциональность шифровальщика осталась прежней: использовался тот же алгоритм шифрования AES-256-CBC и аналогичные процедуры дешифрования. Исходный код и даже названия файлов «kryptina.c» и «kryptina.h», остались теми же. Изменения касались лишь внешних деталей — удаление упоминаний о Kryptina в записках с требованием выкупа и скриптах
Помимо Mallox Linux 1.0, на сервере злоумышленников были найдены и другие инструменты, среди которых:
- легитимный инструмент для сброса паролей от Kaspersky (KLAPR.BAT);
- эксплойт для CVE-2024-21338 — уязвимости повышения привилегий в Windows 10 и 11;
- скрипты PowerShell для повышения привилегий;
- загрузчики Mallox, написанные на Java;
- образы дисков с загрузчиками Mallox;
- данные о 14 потенциальных жертвах.
На данный момент остаётся неясным, используется ли версия Mallox Linux 1.0 одной группой или несколькими, а также как она соотносится с другими вариантами шифровальщика, применяемыми в операциях Mallox.
Стоит отметить, что в 2023 году активность вымогателей Mallox значительно возросла — на 174% по сравнению с прошлым годом, согласно новым данным, полученным специалистами Unit 42 из Palo Alto Networks.
По данным исследователей, вымогатели Mallox тесно связаны с другими злоумышленниками, такими как TargetCompany, Tohnichi, Fargo и недавно появившаяся Xollam. Сама группировка Mallox была замечена в июне 2021 года. Среди основных целей хакеров — производственные компании, фирмы в сфере профессиональных услуг и оптово-розничная торговля.