Sızdırılan Kryptina koduna dayanan yeni Mallox fidye yazılımı Linux çeşidi


Linux

Mallox fidye yazılımı operasyonunun bir iştiraki olan TargetCompany’nin, Linux sistemlerine saldırmak için Kryptina fidye yazılımının biraz değiştirilmiş bir sürümünü kullandığı tespit edildi.

SentinelLabs’e göre bu sürüm, Trend Micro araştırmacılarının geçen Haziran ayında açıkladığı Mallox’un Linux’u hedefleyen diğer sürümlerinden ayrılıyor ve bu durum fidye yazılımı ekosisteminin değişen taktiklerini ortaya koyuyor.

Ayrıca bu durum, daha önce yalnızca Windows’a özel bir kötü amaçlı yazılım olan Mallox’un, Linux ve VMWare ESXi sistemlerini hedef tahtasına koyduğunun bir başka işareti olarak karşımıza çıkıyor ve operasyon için önemli bir evrimi işaret ediyor.

Kryptina’dan Mallox’a

Kryptina, 2023’ün sonlarında Linux sistemlerini hedef alan düşük maliyetli (500-800 dolar) bir hizmet olarak fidye yazılımı (RaaS) platformu olarak piyasaya sürüldü ancak siber suç topluluğunda ilgi görmeyi başaramadı.

Şubat 2024’te, “Corlys” takma adını kullanan sözde yöneticisi, Kryptina’nın kaynak kodunu ücretsiz olarak bilgisayar korsanlığı forumlarına sızdırdı; bu kod muhtemelen çalışan bir Linux sürümüne erişmek isteyen rastgele fidye yazılımı aktörleri tarafından edinildi.

Tehdit aktörü kaynak kodunu sızdırıyor
Tehdit aktörü kaynak kodunu sızdırıyor
Kaynak: SentinelLabs

Mallox’a bağlı bir şirketin operasyonel bir hata yaşaması ve araçlarını ifşa etmesinin ardından SentinelLabs, Kryptina’nın proje tarafından benimsendiğini ve kaynak kodunun yeniden markalanmış Mallox yüklerini oluşturmak için kullanıldığını keşfetti.

Açığa çıkarılan sunucudaki Kryptina kaynak kodu
Açığa çıkarılan sunucudaki Kryptina kaynak kodu
Kaynak: SentinelLabs

“Mallox Linux 1.0” adını alan yeniden markalanmış şifreleyici, Kryptina’nın temel kaynak kodunu, aynı AES-256-CBC şifreleme mekanizmasını ve şifre çözme rutinlerini ve ayrıca aynı komut satırı oluşturucusunu ve yapılandırma parametrelerini kullanıyor.

Bu, Mallox iştirakinin yalnızca görünümü ve ismi değiştirdiğini, fidye notlarında, betiklerde ve dosyalarda Kryptina’ya yapılan atıfları kaldırdığını ve mevcut belgeleri “lite” bir biçime dönüştürerek geri kalan her şeyi olduğu gibi bıraktığını gösteriyor.

Mallox Linux 1.0 fidye notu
Mallox Linux 1.0 fidye notu
Kaynak: SentinelLabs

Mallox Linux 1.0’ın yanı sıra SentinelLabs, tehdit aktörünün sunucusunda çeşitli başka araçlar da buldu:

  • Meşru bir Kaspersky parola sıfırlama aracı (KLAPR.BAT)
  • Windows 10 ve 11’de ayrıcalık yükseltme açığı olan CVE-2024-21338 için bir istismar
  • Ayrıcalık yükseltme PowerShell betikleri
  • Java tabanlı Mallox yük düşürücüler
  • Mallox yüklerini içeren disk görüntü dosyaları
  • 14 potansiyel mağdur için veri klasörleri

Şu anda, Mallox Linux 1.0 sürümünün tek bir bağlı kuruluş, birden fazla bağlı kuruluş veya önceki raporumuzda ele alınan Linux sürümüyle birlikte tüm Mallox fidye yazılımı operatörleri tarafından kullanılıp kullanılmadığı belirsizliğini koruyor.



Source link