Бесплатно Экспресс-аудит сайта:

09.07.2024

Обновленный Mallox открывает новый фронт на Linux

Специалисты Uptycs обнаружили новый вариант программы-вымогателя Mallox, предназначенный для Linux -систем. Вредоносное ПО шифрует данные жертв, делая их недоступными до момента выплаты выкупа

Атакующие используют пользовательский скрипт Python для доставки вредоносного ПО в целевую систему. Скрипт представляет собой веб-панель Mallox на основе фреймворка Flask, которая подключается к внутренней базе данных, используя системные переменные среды в качестве учетных данных. Такой механизм предоставил исследователям информацию об инфраструктуре злоумышленников.

Особую опасность Mallox (также известного как Fargo, TargetCompany и Mawahelper) представляет веб-панель, которая позволяет киберпреступникам создавать индивидуальные варианты Mallox, управлять их развертыванием и даже загружать сам вымогатель.

Новая версия Mallox шифрует данные жертв и добавляет к зашифрованным файлам расширение «.locked». В предыдущих версиях использовались файлы на основе .NET, .EXE или .DLL, которые распространялись через MS-SQL серверы, фишинговые письма или спам. Вредонос включает маршруты для различных функций, таких как аутентификация пользователей, управление сборками, регистрация новых пользователей, сброс паролей и создание новых вариантов вымогателя.

Кроме того, панель администратора позволяет управлять профилями пользователей, просматривать логи, выполнять действия с учетными записями, а также включает интерфейс чата и настраиваемую страницу ошибки 404.

Процесс шифрования Mallox базируется на алгоритме AES-256 -CBC, что является очень надежным стандартом шифрования. Такой метод шифрования делает практически невозможным для жертв расшифровку своих файлов без ключа дешифрования , находящегося у злоумышленников.

Операции Mallox активны с середины 2021 года. С середины 2022 года группа Mallox перешла на модель распространения Ransomware-as-a-Service (RaaS). Группировка использует многоэтапные тактики вымогательства, шифруя данные жертв и угрожая опубликовать их на публичных TOR-сайтах.

К счастью, специалисты Uptycs обнаружили дешифратор для Mallox. Однако создатели Mallox могут обновить свой вымогатель, чтобы избежать дешифровки, поэтому найденный инструмент может быть временным.