Linux

TargetCompanyとしても知られるMalloxランサムウェアの関連会社が、Linuxシステムを攻撃するためにKryptinaランサムウェアの若干修正されたバージョンを使用していることが発見された。

SentinelLabsによると、このバージョンは、昨年6月にTrend Microの研究者によって報告されたものなど、Linuxを標的とするMalloxの他の亜種とは別物であり、ランサムウェアのエコシステムの戦術の移り変わりを浮き彫りにしている。

また、以前はWindows専用のマルウェアであったMalloxが、LinuxとVMWare ESXiシステムを標的としていることも、このマルウェアが大きく進化していることを示しています。

KryptinaからMalloxへ

Kryptinaは、2023年後半にLinuxシステムを標的とした低コスト(500~800ドル)のランサムウェア・アズ・ア・サービス(RaaS)プラットフォームとして登場したが、サイバー犯罪コミュニティでの支持は得られなかった。

2024年2月、”Corlys “という偽名を使用した管理者とされる人物が、Kryptinaのソースコードをハッキングフォーラムに無料で流出させました。

Threat actor leaking the source code
ソースコードを流出させた脅威行為者
Source:SentinelLabs

SentinelLabsは、Malloxの関連会社が操作ミスを犯し、彼らのツールが公開された後、Kryptinaがプロジェクトに採用され、そのソースコードがリブランディングされたMalloxペイロードの構築に使用されていることを発見しました。

Kryptina source code on the exposed server
公開されたサーバー上のKryptinaソースコード
Source:SentinelLabs

Mallox Linux 1.0」と名付けられたリブランディングされた暗号化装置は、Kryptinaのコアソースコード、同じAES-256-CBC暗号化メカニズムと復号化ルーチン、さらに同じコマンドラインビルダーと設定パラメータを使用している。

このことから、Malloxの関連会社は、外観と名前を変更し、身代金メモ、スクリプト、ファイル上のKryptinaへの参照を削除し、既存のドキュメントを「ライト」形式に移し替えただけで、その他はすべて変更されていないことがわかる。

The Mallox Linux 1.0 ransom note
Mallox Linux 1.0の身代金メモ
ソースはこちら:SentinelLabs

SentinelLabs は、Mallox Linux 1.0 以外にも、脅威行為者のサーバー上に以下のようなさまざまなツールを発見しました:

  • 正規の Kaspersky パスワードリセットツール (KLAPR.BAT)
  • Windows 10および11の特権昇格の欠陥であるCVE-2024-21338のエクスプロイト
  • 特権昇格PowerShellスクリプト
  • JavaベースのMalloxペイロードドロッパー
  • Malloxペイロードを含むディスクイメージファイル
  • 潜在的被害者14名分のデータフォルダ

現在のところ、Mallox Linux 1.0の亜種が、1つのアフィリエートによって使用されているのか、複数のアフィリエートによって使用されているのか、あるいは前回のレポートで取り上げたLinuxの亜種と並んで、すべてのMalloxランサムウェアのオペレーターによって使用されているのかは不明です。