بر اساس تحقیقات ارائه شده توسط SentinelLabs در LABScon 2024، یک ابزار باجافزاری که زم، نادیده گرفته شده بود، در حملات سازم، تحت پوشش یک فشار پیشرفتهتر دوباره ظاهر شده است.
Kryptina، یک ابزار Ransomware-as-a-Service (RaaS) که در ابتدا به صورت رایگان در انجمن های وب تاریک در دسترس بود، توسط وابستگان گروه باج افزار Mallox، یک بازیگر شناخته شده در حملات سایبری سازم،، تأیید شده است.
Kryptina که برای اولین بار در دسامبر 2023 راه اندازی شد، نتوانست در بین مجرمان سایبری مورد توجه قرار گیرد. با این حال، در می 2024، یکی از شرکتهای وابسته به Mallox اطلاعات سرور را فاش کرد و نشان داد که از نسخه اصلاحشده Kryptina برای اجرای حملات باجافزار مبتنی بر لینو، استفاده میشود.
این نسخه که به ،وان “Mallox v1.0” نامیده می شود، عملکرد اصلی Kryptina را حفظ می کند و در عین حال نام تجاری آن را حذف می کند و نشان دهنده کالایی شدن ابزارهای باج افزار در بازار جرایم سایبری است.
یافته های کلیدی تحقیقات SentinelLabs عبارتند از:
-
نوع Mallox مشتق شده از Kryptina از رمزگذاری AES-256 با تغییرات جزئی در کد اصلی استفاده می کند.
-
زیرمجموعه Mallox کد منبع و مستندات Kryptina را به روز کرد، آن را به روسی ترجمه کرد و نام تجاری را تنظیم کرد، اما روال های رمزگذاری را تا حد زیادی دست نخورده باقی گذاشت.
-
اطلاعات فاش شده همچنین حاوی پیکربندی هایی برای کمپین های مختلف Mallox بود که حداقل 14 قرب، را هدف قرار دادند.
این توسعه روند گستردهتری را در چشمانداز باجافزار برجسته میکند، جایی که ابزارهای رها شده یا غیرقابل فروش توسط بازیگران پیچیدهتر مورد استفاده مجدد قرار میگیرند.
درباره تهدید فزاینده باج افزار در محیط های سازم، بیشتر بخو،د: FBI: ضرر و زیان باج افزار ایالات متحده با افزایش 74 درصدی به 59.6 میلیون دلار در سال 2023 رسید.
«انواع مشتق شده Mallox's Kryptina مختص شرکت و جدا از سایر انواع لینو، Mallox هستند که از آن زمان پدیدار شده اند، که نشان دهنده این است که چگونه چشم انداز باج افزار به باغ وحش پیچیده ای از جعبه ابزار گرده افش، متقابل و پایگاه های کد غیر خطی تبدیل شده است. SentinelLabs توضیح داد.
این شرکت امنیتی افزود که معرفی پایگاههای اطلاعاتی مختلف توسط شرکتهای وابسته، وضعیت را پیچیده میکند و ردیابی این ابزارها و درک میزان استفاده و پذیرش آنها را دشوار میکند.
با نگاهی به آینده، ما انتظار داریم که شاهد ادغام پلتفرمهای افراطی بیشتری مانند کریپتینا در TTP باشیم که از عوامل تهدید پیشرفتهتری استفاده میکنند.»
منبع: https://www.infosecurity-magazine.com/news/kryptina-ransomware-resurfaces/