Il ransomware Mallox non è di certo una novità per gli esperti di sicurezza informatica, visto che in precedenza ha preso di mira con una certa insistenza i server MSSQL e Windows. Una nuova versione dell’agente malevolo individuata da SentinelLabs, ovvero Mallox Linux 1.0, si sta focalizzando sul sistema operativo del pinguino. Gli esperti sono riusciti a intrufolarsi all’interno di un server sfruttato per la diffusione del ransomware, scoprendo come questo si affidi a dropper di payload basati su Java.
Questo strumento si basa in parte sullo strumento conosciuto come Kryptina o Corlys, di solito proposto sui forum di hacking, il cui codice sorgente è stato sfruttato dalla nuova versione del ransomware. Mallox sfrutta la crittografia AES-256-CBC di Kryptina per impedire l’accesso ai file del computer preso di mira.
Mallox passa da Windows a Linux: ecco dove il ransomware sta concentrando le sue attività
Secondo i dati ottenuti da Kaspersky sul comportamento di questa campagna, non sembra esservi un particolare obiettivo legato a territori o stati specifici. Nonostante ciò, la maggior parte dei casi di questa nuova variante sembrano focalizzarsi su territori come Brasile, Cina e Vietnam.
Mallox è un ransomware individuato per la prima volta a giugno 2021 e, nel territorio dell’Unione Europea, si è distinto in quanto tende a minacciare le vittime per quanto riguarda potenziali denunce relative alla violazione del GDPR.
D’altro canto, questo tipo di minaccia rappresenta uno dei più grandi pericoli nel contesto del Web contemporaneo. Secondo alcune recenti ricerche, il 74% delle vittime di ransomware ha subito più di un attacco. Stando ad altri studi, questo tipo di minaccia viene, nella maggior parte dei casi, gestita dai cybercriminali con il modello Malware-as-a-Service (MaaS).
Attacchi di questo tipo sono evidentemente sempre più diffusi e, rispetto al passato, non si concentrano solo su organizzazioni o grandi aziende, andando anche a colpire comuni utenti.