Поделиться
Новая версия вредоноса Mallox под Linux оказалась перелицовкой другого шифровальщика
Разработчики шифровальщика Kryptina в начале 2024 г. опубликовали его исходники. Кто-то из аффилиатов (партнеров) шифровальщика Mallox воспользовался ими для создания нового варианта под Linux, по-видимому, с целью атаковать системы виртуализации.
Простая переоблицовка
Специалисты SentinelLabs выявили новый вариант шифровальщика Mallox, нацеленного на системы под управлением Linux. Эксперты отмечают, что его основу составляет недавно утекший код другого шифровальщика - Kryptina.
Изначально Kryptina представляла собой RaaS-платформу (Ransomware-as-a-Service - шифровальщик-как-услуга), нацеленную на системы Linux. Ее запуск случился в конце 2023 г. Однако добиться ожидаемой популярности создателям вредоноса не удалось. В феврале 2024 г. предполагаемый администратор Kryptina выложил исходные коды шифровальщика на хакерские форумы бесплатно.
Скорее всего, именно эти исходники и были использованы при создании Mallox Linux 1.0 с минимальными изменениями.
Обновленный Mallox использует тот же механизм шифрования AES-256-CBC и процедуры дешифрования, тот же компилятор командной строки и те же параметры настроек.
Изменились только внешний облик и название. «Разработчик», который, как полагают в SentinelLabs, является аффилиатом основной группировки Mallox, просто поубирал отовсюду - из файлов, скриптов и текста требования выкупа - упоминания Kryptina.
Большие планы на будущее
Впрочем, поизучав сервер злоумышленников, эксперты SentinelLabs нашли там много других любопытных инструментов. В частности, легитимную утилиту для сброса паролей от «Лаборатории Касперского», эксплойт к уязвимости CVE-2024-21338, которая позволяет повышать привилегии в средах Windows 10 и 11; скрипты PowerShell для повышения привилегий, дропперы (загрузчики) на базе Java для все того же Mallox, файлы образов дисков с вредоносными компонентами Mallox, а также каталоги с данными на 14 потенциальных жертв.
Интересно, что у Mallox уже была версия шифровальщика под Linux: в июне 2024 г. ее анализ опубликовала компания Trend Micro.
В прошлом Mallox использовался в атаках только на Microsoft Windows. Теперь, судя по всему, группировка Mallox и ее аффилиаты, готовы всерьез взяться и за системы под управлением Linux и VMware ESXi.
«Шифровальщик, проникший в системы виртуализации и успешно вышедший за пределы изолированной среды, - это одновременная проблема для огромного количества корпоративных пользователей, причем вне зависимости от того, насколько щепетильны они в вопросах своей киберзащиты» , - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Злоумышленники небезосновательно исходят из того, что в таких ситуациях жертвы будут куда сговорчивее и будут готовы заплатить даже очень крупный выкуп» .
Пока остается неясным, используется ли Mallox Linux 1.0 только одним аффилиатом, сразу несколькими или его приняла на вооружение и основная группировка. В любом случае очевидно, что операторам систем виртуализации на базе Linux добавилось головной боли.
Поделиться
Короткая ссылка
