Recentemente, una nuova variante del ransomware Mallox è stata scoperta, e questa volta il suo obiettivo sono i sistemi Linux. Questo sviluppo rappresenta una minaccia significativa per gli utenti e le organizzazioni che utilizzano questo sistema operativo, tradizionalmente considerato più sicuro rispetto ad altri.
Modello RaaS
Il ransomware Mallox, noto anche come Fargo, TargetCompany e Mawahelper, è attivo dal 2021, adottando nel 2022 il modello RaaS (Ransomware-as-a-Service). Solitamente i payload sono file .NET, .EXE o .DLL, diffusi tramite server MS-SQL vulnerabili ed e-mail di phishing. Recentemente, sono state trovate varianti Linux del ransomware Mallox.
Il gruppo Mallox utilizza la multi-estorsione, crittografando i dati delle vittime e minacciando di pubblicarli su siti TOR.
La nuova variante
Si legge nel rapporto Uptycs che esiste un pannello web Mallox che consente di creare un ransomware personalizzato per sistemi Linux:
“Il team di ricerca sulle minacce di Uptycs ha scoperto uno script Python denominato web_server.py durante la sua indagine. Dopo aver esaminato i suoi contenuti e le sue funzioni, è stato identificato come il pannello web del ransomware Mallox basato su Flask che può essere utilizzato per creare un ransomware veloce e personalizzabile per sistemi Linux . Lo script si connette a un database backend utilizzando variabili di ambiente per le credenziali del database. Include percorsi per l’autenticazione utente, la gestione delle build e le funzioni di amministrazione, supportando la registrazione di nuovi utenti, l’accesso, la reimpostazione della password e la creazione, la gestione e il download di build di ransomware.”
La nuova variante di Mallox utilizza script Python personalizzati per consegnare il payload e per esfiltrare le informazioni delle vittime. Una volta infettato il sistema, il ransomware cripta i dati degli utenti e aggiunge l’estensione “.lmallox” ai file criptati (crittografia AES-256 CBC). Questo rende i file inaccessibili senza una chiave di decrittazione, che gli attaccanti offrono in cambio di un riscatto secondo quanto dettagliato sulla nota ransom (READ_THIS_NOW.txt).
Impatto e prevenzione
L’impatto di questa variante può essere devastante, soprattutto per le aziende che si affidano a sistemi Linux per le loro operazioni quotidiane. Tuttavia, ci sono alcune misure che possono essere adottate per proteggersi:
- Effettuare backup regolari dei dati importanti e conservarli in una posizione sicura e isolata dalla rete principale.
- Mantenere il sistema operativo e tutte le applicazioni aggiornate con le ultime patch di sicurezza.
- Utilizzare software antivirus e antimalware affidabili che includano protezioni specifiche per i ransomware.
- Educare i dipendenti sui rischi del phishing e su come riconoscere e segnalare e-mail sospette.
La scoperta di questa nuova variante del ransomware Mallox sottolinea l’importanza di adottare misure preventive per proteggere i propri sistemi. Sebbene siano stati trovati dei decryptor per alcune build di questo ransomware, la prevenzione resta sempre la migliore difesa contro queste minacce.