SentinelLabs'in raporuna göre, bu yeni varyant, Mallox'un Haziran ayında Trend Micro araştırmacıları tarafından tanımlanan diğer Linux hedefli sürümlerinden ayrı bir konumda bulunuyor. Bu durum, fidye yazılımı ekosistemindeki taktiklerin nasıl değiştiğini bir kez daha gözler önüne seriyor.Mallox, başlangıçta yalnızca Windows sistemlerine yönelik bir tehdit olarak ortaya çıkmışken, bu yeni gelişme, Linux ve VMware ESXi sistemlerini de hedef almaya başladığını gösteriyor. Bu, Mallox operasyonu için önemli bir evrim niteliğinde.
Kryptina'dan Mallox'a
Kryptina, 2023 yılının sonlarında Linux sistemlerini hedef alan, düşük maliyetli bir hizmet olarak fidye yazılımı (RaaS) platformu olarak piyasaya sürülmüştü. Ancak, siber suç topluluğunda beklenen ilgiyi görmedi.2024 yılının Şubat ayında, "Corlys" takma adını kullanan Kryptina'nın sözde yöneticisi, fidye yazılımının kaynak kodunu hack forumlarında ücretsiz olarak sızdırdı. Bu kod, muhtemelen çalışır durumda bir Linux varyantına sahip olmak isteyen rastgele fidye yazılımı aktörleri tarafından ele geçirildi.Bir Mallox bağlı kuruluşu, operasyonel bir hata yaparak araçlarını ifşa ettikten sonra, SentinelLabs, Kryptina'nın bu proje tarafından benimsendiğini ve kaynak kodunun yeniden markalanmış Mallox yüklemeleri oluşturmak için kullanıldığını keşfetti.Yeni şifreleyici "Mallox Linux 1.0" olarak adlandırıldı ve Kryptina'nın AES-256-CBC şifreleme mekanizması, şifre çözme rutinleri, komut satırı oluşturucu ve yapılandırma parametreleri gibi çekirdek kaynak kodunu kullandı. Görünüşe ve isme yönelik birkaç değişiklik yapılmış olmasına rağmen, geriye kalan her şey olduğu gibi bırakıldı.Tehdit Aktörünün Sunucusunda Bulunan Araçlar
SentinelLabs, Mallox Linux 1.0 dışında tehdit aktörünün sunucusunda çeşitli diğer araçlar da buldu. Bunlar arasında:- Kaspersky'nin şifre sıfırlama aracı (KLAPR.BAT)
- Windows 10 ve 11'deki bir ayrıcalık yükseltme açığı olan CVE-2024-21338 için bir exploit
- Ayrıcalık yükseltme için PowerShell betikleri
- Java tabanlı Mallox yükleyicileri
- Mallox yüklemelerini içeren disk görüntü dosyaları
- 14 potansiyel kurbana ait veri klasörleri