Les experts en sécurité informatique ont récemment mis en lumière une évolution préoccupante du ransomware Mallox. Initialement conçu pour attaquer les systèmes Windows, ce malware a été modifié pour viser également les environnements Linux. Cette nouvelle déclinaison, nommée Mallox Linux 1.0, est une révision du célèbre encrypteur Kryptina, auparavant proposé comme une solution de ransomware-as-a-service (RaaS) à faible coût.
Selon une analyse approfondie réalisée par SentinelLabs, les opérateurs de Mallox ont repris le code source de Kryptina pour développer leur dernière version destinée à Linux. Ils ont conservé le même algorithme de chiffrement AES-256-CBC, les mêmes routines de déchiffrement, ainsi que le générateur de ligne de commande et les paramètres de configuration identiques. En somme, les développeurs de Mallox ont simplement rebrandé Kryptina, en modifiant uniquement le nom et l’apparence de l’encrypteur, tout en éliminant toute mention du projet original Kryptina. Cette transformation suggère que les affiliés de Mallox ont exploité la fuite du code source de Kryptina, rendue publique par son développeur l’année précédente.
Un malware initialement ciblé sur Windows étend désormais ses attaques à Linux
Depuis juin 2021, Mallox s’est principalement attaqué aux serveurs Microsoft SQL vulnérables. Le groupe est également réputé pour ses menaces adressées aux victimes, notamment celles de l’Union européenne, en les avertissant de possibles violations du GDPR. Entre octobre 2022 et mars 2023, Mallox a dérobé des données à au moins 20 organisations.
Avec l’introduction de Mallox Linux 1.0, ce malware ne se limite plus aux systèmes Windows. Bien qu’aucune victime spécifique n’ait encore été identifiée pour cette nouvelle variante, les chercheurs de Kaspersky ont observé que les attaques de Mallox ne ciblent pas un pays en particulier. Les entreprises impactées se trouvent majoritairement au Brésil, au Vietnam et en Chine.
L’extension de Mallox aux systèmes Linux représente un tournant majeur dans l’univers des ransomwares. Alors que le groupe se focalisait jusqu’à présent sur les environnements Windows, cette diversification augmente considérablement sa portée et expose un plus grand nombre d’organisations à des risques accrus.
La détection de Mallox Linux 1.0 est une alerte pour les professionnels de la cybersécurité, qui doivent redoubler d’efforts pour contrer les stratégies toujours plus sophistiquées des cybercriminels. Face à l’innovation continue des acteurs malveillants et à l’adaptation de leurs outils, il est essentiel pour les entreprises de maintenir des mesures de sécurité robustes et de rester constamment vigilantes.
