باج افزار Mallox که با نام TargetCompany نیز شناخته میشود، از اواسط سال 2021 فعال میباشد. این گروه بر اخاذی چندگانه متمرکز است، دادههای قربانیان خود را رمزگاری کرده و تهدید میکند که آنها را در سایتهای عمومی مبتنی بر Tor منتشر خواهد کرد.
اخیرا نسخه های لینوکسی باج افزار Mallox در کنار نسخههای ویندوزی آن، رواج پیدا کرده است. یکی از شرکت های فعال وابسته به باج افزار Mallox، نوع لینوکسی این بدافزار را از باج افزار Kryptina (کریپتینا)، مشتق کرده است.
این شرکت توانسته است سیستمهای لینوکسی را با استفاده از نسخه کمی تغییر یافته باج افزار Kryptina مورد نفوذ قرار دهد. این نسخه (Mallox Linux 1.0) متمایز از دیگر انواع نسخههای لینوکسی باج افزار Mallox است.
از باج افزار Kryptina تا باج افزار Mallox
Kryptina به عنوان یک پلتفرم باج افزار به عنوان سرویس (RaaS) ارزان قیمت (500 تا 800 دلار) برای نفوذ به سیستمهای لینوکسی در اواخر سال 2023 طراحی و راه اندازی شد اما نتوانست در جامعه جرایم سایبری مورد توجه قرار گیرد.
سازنده آن در فوریه 2024 مدعی شد که با نام مستعار «Corlys»، کد منبع Kryptina را به صورت رایگان در انجمنهای هک فاش کرده است. این کد احتمالاً توسط هکرهایی که علاقهمند به نفوذ به لینوکس هستند، مورد استفاده قرار گرفته است.
پس از اینکه یکی از زیرمجموعههای Mallox با خطای عملیاتی مواجه شد و ابزارهای خود را فاش کرد، SentinelLabs دریافت که کد منبع Kryptina برای ساخت مجدد پیلودهای Mallox مورد استفاده قرار گرفته است.
مکانیزم رمزگذاری نسخه لینوکسی باج افزار Mallox از کد منبع اصلی Kryptina، همان مکانیزم رمزگذاری AES-256-CBC استفاده میکند.
این نشان میدهد که نسخه جدید باج افزار Mallox دارای یک سری تغییرات ظاهری و تغییر نامهاست اما عملکرد اصلی Kryptina را حفظ کرده است.
پذیرش Kryptina توسط شرکتهای وابسته به باج افزار Mallox، نمونهای از تجاری سازی ابزارهای باج افزار است که ردیابی بدافزار را پیچیده میکند.
سایر ابزارهای مختلفی که به گفته SentinelLabs در نسخه لینوکسی باج افزار Mallox تغییر یافته است، عبارتند از:
- یک ابزار قانونی بازنشانی رمز عبور کسپرسکی (BAT)
- یک اکسپلویت برای آسیب پذیری CVE-2024-21338 (آسیب پذیری افزایش سطح دسترسی در ویندوز 10 و 11)
- افزایش سطح دسترسی اسکریپتهای PowerShell
- یک دراپر پیلود مبتنی بر جاوا Mallox
- فایلهای Disk image حاوی پیلودهای Mallox
- پوشههای داده برای 14 قربانی احتمالی
در حال حاضر، مشخص نیست که نسخه Mallox Linux 1.0 توسط چند شرکت وابسته و یا تمامی اپراتورهای باج افزار Mallox استفاده میشود! اما آنچه واضح است علاقه اپراتورهای باج افزار به سیستمهای لینوکس و VMWare ESXi میباشد.
