Um afiliado da operação do ransomware Mallox, também conhecido como TargetCompany, foi flagrado utilizando uma versão levemente modificada do ransomware Kryptina para atacar sistemas Linux.
Segundo a SentinelLabs, esta versão é separada das outras variantes direcionadas a Linux do Mallox, como aquela descrita em junho passado pelos pesquisadores da Trend Micro, destacando as táticas em mudança do ecossistema de ransomware.
Além disso, isso é mais um sinal de que o Mallox, anteriormente um malware somente para Windows, está colocando sistemas Linux e VMWare ESXi em sua mira, marcando uma evolução significativa para a operação.
O Kryptina foi lançado como uma plataforma de ransomware-as-a-service (RaaS) de baixo custo (US$500-US$800) para mirar em sistemas Linux no final de 2023, mas falhou em ganhar tração na comunidade de cibercrime.
Em fevereiro de 2024, seu suposto administrador, usando o pseudônimo "Corlys", vazou o código-fonte do Kryptina gratuitamente em fóruns de hacking, o qual presumivelmente foi adquirido por atores de ransomware aleatórios interessados em obter suas mãos em uma variante funcional para Linux.
Após um afiliado do Mallox sofrer um erro operacional e expor suas ferramentas, a SentinelLabs descobriu que o Kryptina havia sido adotado pelo projeto e seu código-fonte foi usado para construir payloads úteis do Mallox rebrandeadas.
O encriptador rebranded, nomeado "Mallox Linux 1.0", usa o código-fonte principal do Kryptina, o mesmo mecanismo de criptografia AES-256-CBC e rotinas de decifração, assim como o mesmo construtor de linha de comando e parâmetros de configuração.
Isso indica que o afiliado do Mallox apenas modificou a aparência e o nome, removeu referências ao Kryptina em notas de resgate, scripts e arquivos, e transpôs a documentação existente para uma forma "lite", deixando todo o resto inalterado.
Além do Mallox Linux 1.0, a SentinelLabs encontrou várias outras ferramentas no servidor do ator de ameaças, incluindo:
-Um legítimo ferramenta de redefinição de senha da Kaspersky (KLAPR.BAT)
-Um exploit para a
CVE-2024-21338
, uma falha de escalonamento de privilégios no Windows 10 e 11
-Scripts de escalonamento de privilégios PowerShell
-Dropadores de payload útil do Mallox baseados em Java
-Arquivos de imagem de disco contendo payload sutis do Mallox
-Pastas de dados para 14 possíveis vítimas
Atualmente, permanece incerto se a variante Mallox Linux 1.0 está sendo usada por um único afiliado, múltiplos afiliados ou todos os operadores de ransomware do Mallox junto com a variante Linux discutida em nosso relatório anterior.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...