Οι servers (διακομιστές) Linux συχνά φιλοξενούν κρίσιμες εφαρμογές, ιστοσελίδες και βάσεις δεδομένων, καθιστώντας τους έναν ελκυστικό στόχο για χάκερς που επιδιώκουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση με σκοπό την κλοπή δεδομένων και την παραβίαση υπηρεσιών.

Η εκμετάλλευση κενών ασφαλείας σε διακομιστές Linux μπορεί να επιτρέψει σε χάκερς να αναλάβουν τον έλεγχο μεγάλων υποδομών. Η εκτεταμένη χρήση του Linux σε επιχειρησιακά περιβάλλοντα καθιστά το σύστημα ιδιαίτερα ελκυστικό για κακόβουλους παράγοντες.

Οι ερευνητές κυβερνοασφάλειας στην Uptycs ανακάλυψαν πρόσφατα ότι το ransomware Mallox επιτίθεται ενεργά σε servers Linux. Αυτό το κακόβουλο λογισμικό (malware), το οποίο είναι ενεργό από το 2021, πλέον στοχεύει συστήματα Linux χρησιμοποιώντας προσαρμοσμένα scripts σε Python. Η ανακάλυψη ενός νέου web panel βασισμένου στο Flask διευκολύνει την ανάπτυξη και συντήρηση του ransomware για Linux.

Το ransomware Mallox κρυπτογραφεί τα αρχεία των θυμάτων χρησιμοποιώντας κωδικοποίηση base64 και κρυπτογράφηση AES-256-CBC, προσθέτοντας την επέκταση .lmallox και αφήνοντας σημείωμα λύτρων με τίτλο “READ_THIS_NOW.txt”. Οι ερευνητές της Uptycs έχουν εντοπίσει επτά εργαλεία αποκρυπτογράφησης, τα οποία συνδέονται με συγκεκριμένα build IDs και παρέχουν κανόνες YARA για την ανίχνευση δραστηριοτήτων της καμπάνιας Mallox.

Το Mallox ransomware αναδεικνύει την επιτακτική ανάγκη για αυξημένα μέτρα κυβερνοασφάλειας και συνεχή παρακολούθηση συστημάτων. Οι επιχειρήσεις οφείλουν να ενισχύσουν τις πρακτικές ασφαλείας τους και να παραμένουν ενημερωμένες σχετικά με νέες απειλές, ώστε να προστατεύουν αποτελεσματικά τις υποδομές και τα δεδομένα τους από κακόβουλες επιθέσεις.