Специалисты Uptycs обнаружилиновый вариант программы-вымогателя Mallox, предназначенный для Linux-систем. Вредоносное ПО шифрует данные жертв, делая их недоступными до момента выплаты выкупа
Атакующие используют пользовательский скрипт Python для доставки вредоносного ПО в целевую систему. Скрипт представляет собой веб-панель Mallox на основе фреймворка Flask, которая подключается к внутренней базе данных, используя системные переменные среды в качестве учетных данных. Такой механизм предоставил исследователям информацию об инфраструктуре злоумышленников.
Особую опасность Mallox (также известного как Fargo, TargetCompany и Mawahelper) представляет веб-панель, которая позволяет киберпреступникам создавать индивидуальные варианты Mallox, управлять их развертыванием и даже загружать сам вымогатель.
Новая версия Mallox шифрует данные жертв и добавляет к зашифрованным файлам расширение “.locked”. В предыдущих версиях использовались файлы на основе .NET, .EXE или .DLL, которые распространялись через MS-SQL серверы, фишинговые письма или спам. Вредонос включает маршруты для различных функций, таких как аутентификация пользователей, управление сборками, регистрация новых пользователей, сброс паролей и создание новых вариантов вымогателя.
Кроме того, панель администратора позволяет управлять профилями пользователей, просматривать логи, выполнять действия с учетными записями, а также включает интерфейс чата и настраиваемую страницу ошибки 404.
Процесс шифрования Mallox базируется на алгоритме AES-256-CBC, что является очень надежным стандартом шифрования. Такой метод шифрования делает практически невозможным для жертв расшифровку своих файлов без ключа дешифрования , находящегося у злоумышленников.
Операции Mallox активны с середины 2021 года. С середины 2022 года группа Mallox перешла на модель распространения Ransomware-as-a-Service (RaaS). Группировка использует многоэтапные тактики вымогательства, шифруя данные жертв и угрожая опубликовать их на публичных TOR-сайтах.
К счастью, специалисты Uptycs обнаружили дешифратор для Mallox. Однако создатели Mallox могут обновить свой вымогатель, чтобы избежать дешифровки, поэтому найденный инструмент может быть временным.