Ransomware Mallox, la nuova variante prende di mira i sistemi Linux

Recentemente, una nuova variante del ransomware Mallox è stata scoperta, e questa volta il suo obiettivo sono i sistemi Linux. Questo sviluppo rappresenta una minaccia significativa per gli utenti e le organizzazioni che utilizzano questo sistema operativo, tradizionalmente considerato più sicuro rispetto ad altri.

Modello RaaS

Il ransomware Mallox, noto anche come Fargo, TargetCompany e Mawahelper, è attivo dal 2021, adottando nel 2022 il modello RaaS (Ransomware-as-a-Service). Solitamente i payload sono file .NET, .EXE o .DLL, diffusi tramite server MS-SQL vulnerabili ed e-mail di phishing. Recentemente, sono state trovate varianti Linux del ransomware Mallox.

Fonte Uptycs

Il gruppo Mallox utilizza la multi-estorsione, crittografando i dati delle vittime e minacciando di pubblicarli su siti TOR.

La nuova variante

Si legge nel rapporto Uptycs che esiste un pannello web Mallox che consente di creare un ransomware personalizzato per sistemi Linux:

Il team di ricerca sulle minacce di Uptycs ha scoperto uno script Python denominato web_server.py durante la sua indagine. Dopo aver esaminato i suoi contenuti e le sue funzioni, è stato identificato come il pannello web del ransomware Mallox basato su Flask che può essere utilizzato per creare un ransomware veloce e personalizzabile per sistemi Linux . Lo script si connette a un database backend utilizzando variabili di ambiente per le credenziali del database. Include percorsi per l’autenticazione utente, la gestione delle build e le funzioni di amministrazione, supportando la registrazione di nuovi utenti, l’accesso, la reimpostazione della password e la creazione, la gestione e il download di build di ransomware.”

La nuova variante di Mallox utilizza script Python personalizzati per consegnare il payload e per esfiltrare le informazioni delle vittime. Una volta infettato il sistema, il ransomware cripta i dati degli utenti e aggiunge l’estensione “.lmallox” ai file criptati (crittografia AES-256 CBC). Questo rende i file inaccessibili senza una chiave di decrittazione, che gli attaccanti offrono in cambio di un riscatto secondo quanto dettagliato sulla nota ransom (READ_THIS_NOW.txt).

Fonte Uptycs

Impatto e prevenzione

L’impatto di questa variante può essere devastante, soprattutto per le aziende che si affidano a sistemi Linux per le loro operazioni quotidiane. Tuttavia, ci sono alcune misure che possono essere adottate per proteggersi:

  1. Effettuare backup regolari dei dati importanti e conservarli in una posizione sicura e isolata dalla rete principale.
  2. Mantenere il sistema operativo e tutte le applicazioni aggiornate con le ultime patch di sicurezza.
  3. Utilizzare software antivirus e antimalware affidabili che includano protezioni specifiche per i ransomware.
  4. Educare i dipendenti sui rischi del phishing e su come riconoscere e segnalare e-mail sospette.

La scoperta di questa nuova variante del ransomware Mallox sottolinea l’importanza di adottare misure preventive per proteggere i propri sistemi. Sebbene siano stati trovati dei decryptor per alcune build di questo ransomware, la prevenzione resta sempre la migliore difesa contro queste minacce.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.