Mallox Ransomware: A növekvő fenyegetés a Linux szerverekre

July 5, 2024 Yanac Flask, Linux, Mallox, Ransomware

Az Uptycs kutatócsoportja nemrégiben a Linux szervereket célzó zsarolóvírus-támadások növekedését figyelte meg. Az elemzés a Linux-szerverek felé történő elmozdulást mutatta ki, mivel ezek egyre gyakrabban fordulnak elő a kritikus infrastruktúrákban és a vállalati infrastruktúrákban. Ez a tény vonzó célponttá teszi őket a zsarolóprogram-csoportok számára. A Mallox ransomware, egy rendkívül kifinomult és alkalmazkodóképes malware-változat, amelyet kezdetben 2021 közepe táján észleltek, 2022 közepe óta jelentős fenyegetésként jelent meg. A Mallox a korai időkben Windows rendszereket célzott meg .NET-alapú hasznos terheléssel, de támadói kiterjesztették tevékenységüket a Linux szerverek kihasználására is.

A Mallox zsarolóprogram összetett támadási módszert alkalmaz. Egyedi Python szkripteket használ a hasznos teher továbbításához, az adatok kiszivárgásához és a felhasználói adatok titkosításához. A titkosított fájlokat “.locked” kiterjesztéssel jelöli, így téve azokat elérhetetlenné. A kutatók felfedeztek egy Flask alapú webes panel szkriptet, amelyet a támadók arra használnak, hogy megkönnyítsék a Linux rendszerekre épített zsarolóvírusok létrehozását. A szkript használatával a létrehozás, a kezelés és a telepítés folyamata is egyszerűbbé válik. A zsarolóprogram AES-256 CBC titkosítást alkalmaz a fájlok zárolásához, és váltságdíjfizetési jegyzeteket osztogat, amelyek részleteket tartalmaznak a fizetési határidőről, a váltságdíj kifizetéséhez szükséges bitcoin-címről és a kommunikációhoz szükséges chat-azonosítóról.

A szervezetek úgy védekezhetnek ez ellen a fenyegetés ellen, hogy többszintű biztonsági intézkedéseket alkalmaznak Linux-kiszolgálóikra. Ilyen gyakorlat például a rendszeres biztonsági mentések készítése, a legkisebb jogosultságú hozzáférés elvének alkalmazása, a végponti biztonsági megoldások használata, a rendszerek rendszeres foltozása és frissítése, a felhasználók oktatása az adathalász technikákról, a hálózatok elkülönítése, az átfogó naplózás és felügyelet, valamint az incidensekre adott választerv kidolgozása. A Mallox zsarolóvírus Linux-változatának megjelenése arra utal, hogy a digitális infrastruktúra további fejlődésével a kiberbűnözők egyre inkább a Linux-szervereket veszik célba.

(forrás)