Los sistemas Linux, conocidos por su robustez y seguridad, no son tan intocables como muchos piensan. La reciente aparición de una nueva variante del ransomware Mallox, específicamente diseñada para atacar plataformas Linux, está poniendo a prueba esa confianza. Lo más preocupante es que este ataque no surge de la nada: está construido sobre el código filtrado de otro malware, Kryptina, lo que demuestra que los cibercriminales están aprovechando las vulnerabilidades que otros dejan atrás. ¿Qué significa esto para quienes gestionan servidores y sistemas basados en Linux?
Esta nueva versión es diferente de otras variantes de Mallox que se habían detectado en Linux, lo que muestra cómo los ciberdelincuentes están cambiando sus tácticas. Además, es una clara señal de que Mallox, que solía centrarse solo en Windows, ahora también está apuntando a sistemas Linux y VMWare ESXi, lo que marca un paso importante en la evolución de este ransomware.
Kryptina surgió a finales de 2023 como una plataforma de ransomware de bajo costo (entre $500 y $800) enfocada en atacar sistemas Linux, pero no logró captar suficiente atención en los círculos del cibercrimen.
En febrero de 2024, su administrador, conocido bajo el alias "Corlys", decidió filtrar el código fuente de Kryptina de manera gratuita en foros de piratería. Esto llamó la atención de varios actores interesados en hacerse con una variante funcional de ransomware para Linux.
Más tarde, un grupo afiliado a Mallox cometió un error que expuso sus herramientas, revelando que habían adoptado el código de Kryptina para crear nuevas cargas útiles bajo el nombre de Mallox, lo que muestra cómo los cibercriminales reutilizan el trabajo de otros para seguir evolucionando sus ataques.
A finales de mayo de 2024, se descubrió una exposición pública de archivos (opendir) que reveló varias muestras de una nueva variante de Mallox. Esta variante, llamada "Mallox Linux 1.0", está basada en el código fuente original de Kryptina. Utiliza el mismo mecanismo de cifrado AES-256-CBC y las mismas rutinas de descifrado, junto con el generador de comandos y los parámetros de configuración.
Lo único que parece haber cambiado es el nombre y la apariencia. Los operadores de Mallox eliminaron las referencias a Kryptina en las notas de rescate, scripts y archivos, y simplificaron la documentación, dejando prácticamente todo lo demás igual. Esto sugiere que no hicieron más que darle un "lavado de cara" al ransomware para ocultar sus orígenes.
Podría interesarte leer: Hackers Usan Malware Creado con IA en Ataques Dirigidos
Además de la versión Mallox Linux 1.0, se encontraron varias otras herramientas en el servidor utilizado por el grupo de atacantes, entre ellas:
Aún no está claro si Mallox Linux 1.0 está siendo utilizada por un único afiliado, varios grupos o por todos los operadores que están detrás del ransomware Mallox, junto con la versión de Linux analizada previamente.
La aparición de la variante de ransomware Mallox dirigida a Linux marca un punto de inflexión preocupante en el panorama del cibercrimen. Aunque los sistemas Linux siempre han sido considerados más seguros, está claro que ya no están fuera del radar de los ciberdelincuentes. Ahora más que nunca, es crucial que tanto las organizaciones como los usuarios individuales adopten un enfoque preventivo. Esto incluye no solo mantener los sistemas actualizados, sino también implementar copias de seguridad regulares y confiables.
Aquí es donde TecnetProtect puede ser tu mejor aliado. No solo ofrece protección avanzada contra ataques de ransomware y otras amenazas, sino que también realiza copias de seguridad automáticas de tus sistemas Linux, asegurando que tus datos estén siempre respaldados y seguros. Con esta combinación de seguridad proactiva y copias de respaldo, puedes minimizar el impacto de cualquier ataque y recuperar tus datos rápidamente sin tener que pagar un rescate.
¿Qué medidas de protección tienes en marcha para evitar que un ataque como Mallox te afecte? ¿Ya cuentas con un sistema de copias de seguridad eficaz?