Kryptina Ransomware-as-a-Service (RaaS) прошла путь от бесплатного инструмента на публичных форумах до активного использования в корпоративных атаках, в частности, в рамках семейства вымогательских программ Mallox.
Kryptina Ransomware
В мае 2024 года один из филиалов компании Mallox слил данные о серверах, в результате чего выяснилось, что их вымогательская программа для Linux основана на модифицированной версии Kryptina. Филиал внес поверхностные изменения в исходный код и документацию, удалив брендинг Kryptina, но сохранив основную функциональность. Использование Kryptina филиалами Mallox является примером коммодитизации инструментов ransomware, усложняющей отслеживание вредоносного ПО, поскольку филиалы объединяют различные кодовые базы в новые варианты.
Утечка таких мощных инструментов, как сборщики LockBit, Yashma и Babuk, а также Kryptina RaaS затушевывает родословную и распространение родственных семейств вредоносных программ. Mallox ransomware - это давний RaaS, ориентированный на предприятия, который появился в 2021 году и иногда упоминается как FARGO, XOLLAM или BOZON, из-за расширения, добавляемого к зашифрованным файлам в некоторых вариантах. Известно, что операторы Mallox используют «своевременные» уязвимости (например, MSSQL Server).
Поведение отдельных партнеров может отличаться, однако такой стиль эксплуатации, наряду с атаками грубой силы для получения первоначального доступа, характерен для кампаний Mallox. Варианты Mallox, полученные от Kryptina, специфичны для аффилированных лиц и не похожи на другие Linux-варианты Mallox, появившиеся впоследствии. Это свидетельствует о том, что ландшафт вымогательского ПО превратился в сложный зверинец, состоящий из перекрестно опыляемых наборов инструментов и нелинейных кодовых баз.
Indicators of Compromise
IPv4
- 185.73.125.6
Domains
- grovik71.theweb.place
SHA1
- 0b9d2895d29f7d553e5613266c2319e10afdda78
- 0de92527430dc0794694787678294509964422e6
- 0e83d023b9f6c34ab029206f1f11b3457171a30a
- 0f1aea2cf0c9f2de55d2b920618a5948c5e5e119
- 0f632f8e59b8c8b99241d0fd5ff802f31a3650cd
- 1379a1b08f938f9a53082150d53efadb2ad37ae5
- 21bacf8daa45717e87a39842ec33ad61d9d79cfe
- 262497702d6b7f7d4af73a90cb7d0e930f9ec355
- 29936b1aa952a89905bf0f7b7053515fd72d8c5c
- 2b3fc20c4521848f33edcf55ed3d508811c42861
- 341552a8650d2bdad5f3ec12e333e3153172ee66
- 43377911601247920dc15e9b22eda4c57cb9e743
- 58552820ba2271e5c3a76b30bd3a07144232b9b3
- 5cf67c0a1fa06101232437bee5111fefcd8e2df4
- 88a039be03abc7305db724079e1a85810088f900
- 9050419cbecc88be7a06ea823e270db16f47c1ea
- 93ef3578f9c3db304a979b0d9d36234396ec6ac9
- a1a8922702ffa8c74aba9782cca90c939dfb15bf
- b07c725edb65a879d392cd961b4cb6a876e40e2d
- b27d291596cc890d283e0d3a3e08907c47e3d1cc
- b768ba3e6e03a77004539ae999bb2ae7b1f12c62
- c20e8d536804cf97584eec93d9a89c09541155bc
- c4d988135e960e88e7acfae79a45c20e100984b6
- d46fbc4a57dce813574ee312001eaad0aa4e52de
- d618a9655985c33e69a4713ebe39d473a4d58cde
- dc3f98dded6c1f1e363db6752c512e01ac9433f3
- ee3cd3a749f5146cf6d4b36ee87913c51b9bfe93
- ef2565c789316612d8103056cec25f77674d78d1
- f17d9b3cd2ba1dea125d2e1a4aeafc6d4d8f12dc
