TargetCompany ซึ่งเป็นหนึ่งในบริษัทที่ถูกโจมตีจาก Mallox ransomware ได้พบว่ามีการใช้ Kryptina ransomware ที่ได้รับการปรับปรุง ในการโจมตีระบบ Linux ของพวกเขา
ตามที่ SentinelLabs รายงาน เวอร์ชันดังกล่าวนั้นแตกต่างจากเวอร์ชันอื่น ๆ ของ Mallox ที่มุ่งเป้าไปที่ Linux เช่น เวอร์ชันที่นักวิจัยของ Trend Micro ได้เผยแพร่เมื่อเดือนมิถุนายน 2024 ที่ผ่านมา แสดงให้เห็นถึงการเปลี่ยนแปลงที่สำคัญของ Mallox ransomware ซึ่งเคยเป็นมัลแวร์ที่มีเฉพาะใน Windows เท่านั้น ที่ปัจจุบันกำลังมุ่งเป้าหมายไปยังระบบปฏิบัติการ Linux และ VMWare ESXi ซึ่งถือเป็นวิวัฒนาการครั้งสำคัญของกลุ่มดังกล่าว
Kryptina ransomware สู่ Mallox ransomware
Kryptina เปิดตัวในฐานะ ransomware-as-a-service (RaaS) platform ที่ราคาไม่สูงมาก ($500-$800) แต่มีความสามารถในการโจมตีระบบ Linux ในช่วงปลายปี 2023 แต่ยังไม่ได้รับความนิยมในกลุ่ม Hacker มากนัก
ในเดือนกุมภาพันธ์ 2024 มีผู้ใช้ชื่อว่า "Corlys" ที่อ้างว่าเป็นผู้ดูแลระบบ ได้เผยแพร่โค้ดต้นฉบับของ Kryptina ลงบน hacking forums ฟรี ทำให้คาดว่าโค้ดดังกล่าวจึงถูกนำไปใช้โดยกลุ่ม Hacker ที่ต้องการโจมตีระบบ Linux ของเป้าหมาย
ภายหลังที่กลุ่ม Mallox ransomware ได้ประสบปัญหาในการปฏิบัติงาน และถูกเปิดเผยเครื่องมือในการโจมตี ทาง SentinelLabs พบว่า Kryptina ได้ถูกนำมาปรับใช้เพื่อสร้างเพย์โหลดของ Mallox payloads ตัวใหม่
โปรแกรมเข้ารหัสที่เปลี่ยนชื่อใหม่ และมีชื่อว่า "Mallox Linux 1.0" ได้ใช้โค้ดต้นฉบับหลักของ Kryptina คือกลไก AES-256-CBC encryption และ decryption routines รวมไปถึง command-line และ configuration parameters แบบเดียวกัน
แสดงให้เห็นถึง Mallox ได้ปรับเปลี่ยนเพียงแค่ลักษณะที่ปรากฏ และชื่อเท่านั้น รวมถึงลบการอ้างอิงถึง Kryptina บนบันทึกเรียกค่าไถ่ สคริปต์ และไฟล์ และย้ายเอกสารที่มีอยู่ให้เป็นรูปแบบ "lite" โดยไม่เปลี่ยนแปลงส่วนอื่น ๆ
รวมถึงยังพบเครื่องมืออื่น ๆ มากมายบนเซิร์ฟเวอร์ของ Hacker รวมถึง :
- เครื่องมือรีเซ็ตรหัสผ่าน Kaspersky ที่ถูกกฎหมาย (BAT)
- ช่องโหว่ CVE-2024-21338 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows 10 และ 11
- PowerShell scripts สำหรับการยกระดับสิทธิ์
- Mallox payload droppers ที่ใช้ Java
- Disk image files ที่มี Mallox payloads
- Data folders ของเหยื่อ 14 ราย
ขณะนี้ ยังไม่ชัดเจนว่า Mallox Linux เวอร์ชัน 1.0 ถูกใช้โดยกลุ่ม Hacker กลุ่มเดียว หรือหลายกลุ่ม หรือผู้ให้บริการ Mallox ransomware ทั้งหมด ควบคู่ไปกับเวอร์ชัน Linux ที่เคยรายงานไปก่อนหน้านี้
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น