Mallox-zsarolás: már a Linux is célkeresztbe került

​Egy újjáélesztett zsarolóvírussal kezdték támadni a kiberbűnözők a Linux alapú kiszolgálókat.
 

A Mallox vagy más néven TargetCompany zsaroló támadások során az elkövetők fájlok titkosításával, valamint adatszivárogtatással igyekeznek sakkban tartani az áldozataikat, és minél több váltságdíjat bezsebelni. A Mallox kezdetben kifejezetten a Windows alapú rendszerek ostromlására összpontosított, de mára ez megváltozott.
 
A SentinelLabs biztonsági kutatói szerint a Mallox mögött meghúzódó kiberbanda egy újabb fegyvert állított csatasorba. Ez pedig nem más, mint a Linux és a VMware ESXi alapú kiszolgálók megfertőzésére alkalmas Kryptina zsarolóvírus.
 
A Kryptina 2023-ban jelent meg, és 500-800 dolláros áron lehetett hozzájutni RaaS (ransomware-as-a-service) szolgáltatás formájában a dark weben. A károkozó azonban nem tudott igazán komoly népszerűségre szert tenni a kiberbűnözők körében, sőt 2024 februárjában a forráskódja is kiszivárgott az interneten. Ettől kezdve szabad prédává vált, és nyilván több csaló is lecsapott a kínálkozó lehetőségre. Egyebek mellett a Mallox zsarolói is, akik az elmúlt időszakban a Kryptina némileg módosított verziójával kezdték fertőzni a linuxos szervereket.
 
A vizsgálataik során a SentinelLabs szakértőinek sikerült hozzáférést szerezniük az egyik Mallox kiszolgálóhoz, amelyen egyeben mellett az alábbiakra akadtak:

• Kaspersky jelszóresetelő eszköz (KLAPR.BAT)
• Expoit a CVE-2024-21338 biztonsági réshez (Windows 10/11 alatti jogosultsági szint emeléshez)
• Jogosultsági szint emelésre lehetőséget adó PowerShell scriptek
• Mallox payloadok
• Lopott adatokat tartalmazó fájlok.