Una herramienta de ransomware que antes se pasaba por alto ha resurgido en los ataques empresariales bajo la apariencia de una cepa más avanzada, según una investigación presentada por SentinelLabs en LABScon 2024. Kryptina, una herramienta de ransomware como servicio (RaaS) inicialmente disponible de forma gratuita en foros de la web oscura, ha sido adoptada por los afiliados del grupo de ransomware Mallox, un actor conocido en los ciberataques empresariales. La plataforma Kryptina, lanzada por primera vez en diciembre de 2023, no logró ganar terreno entre los ciberdelincuentes. Sin embargo, en mayo de 2024, un afiliado de Mallox filtró datos del servidor, revelando el uso de una versión modificada de Kryptina para impulsar ataques de ransomware basados ​​en Linux. Esta versión, conocida como «Mallox v1.0», conserva la funcionalidad principal de Kryptina al tiempo que elimina su marca, lo que indica la mercantilización de las herramientas de ransomware en el mercado del ciberdelito. Los hallazgos clave de la investigación de SentinelLabs incluyen: La variante de Mallox derivada de Kryptina usa cifrado AES-256 con cambios menores en el código original La filial de Mallox actualizó el código fuente y la documentación de Kryptina, traduciéndolo al ruso y ajustando la marca, pero dejando las rutinas de cifrado prácticamente intactas Los datos filtrados también contenían configuraciones para varias campañas de Mallox, dirigidas al menos a 14 víctimas Este desarrollo destaca una tendencia más amplia en el panorama del ransomware, donde herramientas previamente abandonadas o invendibles son reutilizadas por actores más sofisticados. Lea más sobre la creciente amenaza del ransomware en entornos empresariales: FBI: las pérdidas por ransomware en EE. UU. aumentan un 74% a $ 59,6 millones en 2023 «Las variantes de Mallox derivadas de Kryptina son específicas de la filial y están separadas de otras variantes de Mallox para Linux que han surgido desde entonces, una indicación de cómo el panorama del ransomware ha evolucionado hasta convertirse en una compleja colección de conjuntos de herramientas polinizadas de forma cruzada y bases de código no lineales», explicó SentinelLabs. La empresa de seguridad añadió que la introducción de varias bases de código por parte de filiales individuales complica la situación, haciendo más difícil rastrear estas herramientas y comprender el alcance de su uso y adopción. “De cara al futuro, esperamos ver más plataformas atípicas como Kryptina siendo absorbidas por las TTP aprovechadas por actores de amenazas más avanzados”.