Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обновленный Mallox теперь угрожает и Linux

09/07/24

Linux vulnerability3

Специалисты Uptycs обнаружили новый вариант программы-вымогателя Mallox, предназначенный для Linux-систем. Вредоносное ПО шифрует данные жертв, делая их недоступными до момента выплаты выкупа.

Атакующие используют пользовательский скрипт Python для доставки вредоносного ПО в целевую систему. Скрипт представляет собой веб-панель Mallox на основе фреймворка Flask, которая подключается к внутренней базе данных, используя системные переменные среды в качестве учетных данных. Такой механизм предоставил исследователям информацию об инфраструктуре злоумышленников, пишет Securitylab.

Особую опасность Mallox (также известного как Fargo, TargetCompany и Mawahelper) представляет веб-панель, которая позволяет киберпреступникам создавать индивидуальные варианты Mallox, управлять их развертыванием и даже загружать сам вымогатель.

Новая версия Mallox шифрует данные жертв и добавляет к зашифрованным файлам расширение «.locked». В предыдущих версиях использовались файлы на основе .NET, .EXE или .DLL, которые распространялись через MS-SQL серверы, фишинговые письма или спам. Вредонос включает маршруты для различных функций, таких как аутентификация пользователей, управление сборками, регистрация новых пользователей, сброс паролей и создание новых вариантов вымогателя.

Кроме того, панель администратора позволяет управлять профилями пользователей, просматривать логи, выполнять действия с учетными записями, а также включает интерфейс чата и настраиваемую страницу ошибки 404.

Процесс шифрования Mallox базируется на алгоритме AES-256-CBC, что является очень надежным стандартом шифрования. Такой метод шифрования делает практически невозможным для жертв расшифровку своих файлов без ключа дешифрования, находящегося у злоумышленников.

Операции Mallox активны с середины 2021 года. С середины 2022 года группа Mallox перешла на модель распространения Ransomware-as-a-Service (RaaS). Группировка использует многоэтапные тактики вымогательства, шифруя данные жертв и угрожая опубликовать их на публичных TOR-сайтах.

К счастью, специалисты Uptycs обнаружили дешифратор для Mallox. Однако создатели Mallox могут обновить свой вымогатель, чтобы избежать дешифровки, поэтому найденный инструмент может быть временным.

Темы:LinuxВымогателиШифрование
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...