Linux için ücretsiz ve açık kaynaklı bir RaaS platformu olan Kryptina RaaS, başlangıçta dikkat çekmekte zorlandı.
Yine de Mayıs 2024’te bir Mallox iştirakinin sahneleme sunucusunun sızdırılmasının ardından, Kryptina’nın Mallox v1.0 markalı değiştirilmiş sürümü öne çıktı.
Araştırma, sızıntıda açığa çıkan verileri inceleyerek orijinal Kryptina RaaS (v2.2) ile Mallox v1.0 arasındaki farkları vurguluyor ve Mallox varyantının platformun işlevselliğinde iyileştirmeler içerdiğini, bu sayede fidye yazılımı kampanyaları başlatmak isteyen tehdit aktörleri için daha çekici bir seçenek haline geldiğini ortaya koyuyor.
Olgun bir fidye yazılımı hizmeti platformu olan Mallox, 2021’den beri aktif olup, güvenlik açıkları ve kaba kuvvet saldırıları yoluyla işletmeleri hedef alıyor. Başlangıçta “Corlys” tarafından satılan Kryptina daha sonra çevrimiçi olarak sızdırıldı ve kaynak kodu ve Mallox ile bağlantısı ortaya çıktı.
Bu sızıntı, Mallox’a bağlı bir şirketin Kryptina for Linux yüklerini nasıl kullandığını ortaya çıkardı ve olası bir işbirliği veya özelleştirme olabileceğini düşündürdü.
Ancak Kryptina’nın Mallox ekosistemi içindeki benzersizliği, ikisi arasında muhtemelen bağımsız bir geliştirme veya satın alma içeren karmaşık bir ilişkiye işaret ediyor.
Tehdit aktörleri, Mallox Linux 1.0’ı oluşturmak için sızdırılan Kryptina fidye yazılımı kaynak kodunu yeniden kullandı. AES-256 CBC şifrelemesi ve OpenSSL şifre çözme dahil olmak üzere temel işlevler değişmeden kaldı.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Kryptina markası çoğu dosyadan kaldırılmış olsa da, referanslar /src klasöründeki fonksiyon adlarında (örneğin, krptna_process_file) kalır. Mallox, orijinal Kryptina belgelerinin Rusçaya çevrilmiş, sadeleştirilmiş bir sürümünü içerir.
Fidye yazılımı not şablonları Mallox markasını yansıtacak şekilde değiştirildi. Çekirdek şifreleyici kaynak dosyası (kryptina.c) orijinal Kryptina adını korur ancak Mallox için yorumlar ve hata ayıklama mesajları güncellenmiştir.
Benzer şekilde, otomatik yük derlemeleri için kullanılan scripting_demo.py betiği, Kryptina referanslarını kaldırmak için asgari düzeyde değiştirildi.
Kryptina ve Mallox makefile’ları şifreleyici ve şifre çözücü yüklerini oluşturmak için kullanılır. Her iki makefile da demo, hata ayıklama, semboller ve arch32 dahil olmak üzere çeşitli oluşturma modları sunar. XOR anahtarı, iş parçacığı sayısı, kendi kendini silme, dosya boyutu kısıtlamaları ve güvenli silme için ek parametreler de özelleştirilebilir.
Mallox makefile, yük türü (kripto veya şifre çözücü), sıkıştırma seviyesi ve özel bir yük başlığı ekleme yeteneği için yeni parametreler sunar. Her iki makefile da belirli gereksinimlere dayalı esnek yük yapılandırmasına izin verir.
Mayıs 2024’teki iştirak sızıntısı, config.json dosyalarını içeren 14 potansiyel kurban alt klasörü ve aynı ödeme adresleri ve fidye notu şablonlarına sahip derlenmiş şifreleyici/şifre çözücü araçları da dahil olmak üzere hedef özelinde çok sayıda veriyi açığa çıkardı.
Sentinel Labs’a göre yapılandırma dosyalarında ödeme türü, adresler ve fidye notu içeriği gibi belirli ayrıntılar yer alıyor ve bu da koordineli ve hedefli bir saldırı kampanyasının göstergesi.
Mallox kötü amaçlı yazılımı, Windows sistemlerini hedeflemek için sızdırılmış bağlı kuruluş sunucularını kullanır. Sunucu, CVE-2024-21338 (Windows ayrıcalık yükseltmesi) için bir istismar ve Kaspersky uç nokta ürünlerini devre dışı bırakmak için bir araç dahil olmak üzere ilk tehlikeye atmaya yönelik çeşitli araçlar içerir.
Bunlara ek olarak sunucuda PowerShell betikleri ve Mallox’u indirmek için bir PowerShell betiğini başlatan bir JAR dosyası da bulunmaktadır.
Sunucuda ayrıca Java JRE’nin tam çevrimdışı yükleyicisi ve 32-bit ve 64-bit sistemler için ek dropper/yük setleri de bulunmaktadır.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free