Une filiale de l’opération de ransomware Mallox, également connue sous le nom de TargetCompany, a été repérée en utilisant une version légèrement modifiée du ransomware Kryptina pour attaquer les systèmes Linux.
Cette version, selon SentinelLabs, est distincte des autres variantes de Mallox ciblant Linux, telles que celle décrite en juin dernier par les chercheurs de Trend Micro, mettant en évidence les tactiques changeantes de l’écosystème des ransomwares.
De plus, c’est un autre signe que Mallox, auparavant un logiciel malveillant uniquement pour Windows, met les systèmes Linux et VMware ESXi dans sa ligne de mire, marquant une évolution significative pour l’opération.
De Kryptina à Mallox
Kryptina a été lancée en tant que plate-forme de ransomware en tant que service (RaaS) à faible coût (500 à 800 USD) pour cibler les systèmes Linux à la fin de 2023, mais n’a pas réussi à gagner du terrain dans la communauté de la cybercriminalité.
En février 2024, son prétendu administrateur, utilisant l’alias « Corlys », a divulgué gratuitement le code source de Kryptina sur des forums de piratage, qui a vraisemblablement été acquis par des acteurs aléatoires de ransomware intéressés à mettre la main sur une variante Linux fonctionnelle.
Après qu’une filiale de Mallox ait subi une erreur opérationnelle et exposé ses outils, SentinelLabs a découvert que Kryptina avait été adoptée par le projet et que son code source avait été utilisé pour créer des charges utiles Mallox renommées.
Le chiffreur renommé, nommé « Mallox Linux 1.0 », utilise le code source principal de Krypton, le même mécanisme de chiffrement AES-256-CBC et les mêmes routines de déchiffrement, ainsi que le même générateur de ligne de commande et les mêmes paramètres de configuration.
Cela indique que l’affilié Mallox n’a modifié que l’apparence et le nom, supprimé les références à Kryptina sur les notes de rançon, les scripts et les fichiers, et transposé la documentation existante sous une forme « allégée », laissant tout le reste inchangé.
Outre Mallox Linux 1.0, Sentinel Labs a trouvé divers autres outils sur le serveur de l’auteur de la menace, notamment:
- Un outil de réinitialisation de mot de passe Kaspersky légitime (KLAPR.CHAUVE-SOURIS)
- Un exploit pour CVE-2024-21338, une faille d’élévation de privilèges sur Windows 10 et 11
- Scripts PowerShell d’élévation de privilèges
- Compte-gouttes de charge utile Mallox basés sur Java
- Fichiers d’image disque contenant des charges utiles Mallox
- Dossiers de données pour 14 victimes potentielles
Actuellement, il n’est pas certain que la variante Mallox Linux 1.0 soit utilisée par un seul affilié, plusieurs affiliés ou tous les opérateurs de ransomwares Mallox aux côtés de la variante Linux discutée dans notre précédent rapport.