Выяўлена версія RansomEXX для Linux

Los investiadores de лабараторыя Касперскага вызначылі a Версія Linux dшкоднасныя праграмы-вымагальнікі "RansomEXX".

Першапачаткова RansomEXX распаўсюджваўся толькі на платформе Windows і праславіўся дзякуючы некалькім буйным інцыдэнтам з паразай сістэм розных дзяржаўных устаноў і кампаній, у тым ліку Дэпартамента транспарту Тэхаса і Konica Minolta.

Аб RansomEXX

RansomEXX шыфруе дадзеныя на дыску, а потым патрабуе выкуп каб атрымаць ключ дэшыфравання. 

Шыфраванне арганізавана з выкарыстаннем бібліятэкі мбедтлс de З адкрытым зыходным кодам. Пасля запуску, шкоднаснае ПА генеруе 256-бітны ключ і выкарыстоўвае яго для шыфравання ўсіх даступных файлаў з выкарыстаннем блокавага шыфравання AES у рэжыме ECB. 

Пасля гэтага, кожны ключ генеруецца новы ключ AES, гэта значыць розныя файлы зашыфраваны рознымі ключамі AES.

Кожны ключ AES зашыфраваны з выкарыстаннем адкрытага ключа RSA-4096 убудаваны ў код шкоднасных праграм і прымацоўваецца да кожнага зашыфраванага файла. Для расшыфроўкі праграма-вымагальнік прапануе купіць у іх закрыты ключ.

Асаблівасць RansomEXX ці з'яўляецца ваш выкарыстанне ў мэтавых атаках, падчас якога зламыснікі атрымліваюць доступ да адной з сістэм у сетцы шляхам кампраметацыі уразлівасцяў альбо метадаў сацыяльнай інжынерыі, пасля чаго яны атакуюць іншыя сістэмы і разгортваюць спецыяльна сабраны варыянт шкоднасных праграм для кожнай атакаванай інфраструктуры, уключаючы імя кампаніі і кожны з розных кантактных дадзеных.

Першапачаткова, падчас нападу на карпаратыўныя сеткі, зламыснікі яны спрабавалі ўзяць пад кантроль з як мага большай колькасці працоўных станцый, каб усталяваць на іх шкоднасныя праграмы, але гэтая стратэгія апынулася няправільнай, і ў многіх выпадках сістэмы проста пераўсталёўваліся з выкарыстаннем рэзервовай копіі, не плацячы выкуп. 

Зараз стратэгія кіберзлачынцаў змянілася y іх мэта складалася ў тым, каб перамагчы ў першую чаргу карпаратыўныя серверныя сістэмы і асабліва да цэнтралізаваных сістэм захоўвання дадзеных, у тым ліку да тых, якія працуюць пад Linux.

Таму не дзіўна назіраць, што трэйдары RansomEXX зрабілі гэта вызначальнай тэндэнцыяй у гэтай галіне; Іншыя аператары-вымагальнікі могуць таксама разгарнуць версіі Linux у будучыні.

Нядаўна мы выявілі новы траян для шыфравання файлаў, створаны ў якасці выканальнага файла ELF і прызначаны для шыфравання дадзеных на машынах, якія кіруюцца аперацыйнымі сістэмамі на базе Linux.

Пасля першапачатковага аналізу мы заўважылі падабенства ў кодзе траянскага тэксту, у тэксце выкупных дакументаў і ў агульным падыходзе да вымагальніцтва, што сведчыць пра тое, што мы фактычна знайшлі зборку Linux раней вядомага сямейства вымагальнікаў RansomEXX. Гэта шкоднасная праграма, як вядома, атакуе буйныя арганізацыі і была найбольш актыўнай у пачатку гэтага года.

RansomEXX - вельмі спецыфічны траян. Кожны ўзор шкоднаснага ПЗ змяшчае закадаваную назву арганізацыі-ахвяры. Акрамя таго, як пашырэнне зашыфраванага файла, так і адрас электроннай пошты для сувязі з вымагальнікамі выкарыстоўваюць імя ахвяры.

І гэты рух, здаецца, ужо пачаўся. Па дадзеных кампаніі па кібербяспецы Emsisoft, акрамя RansomEXX, аператары, якія стаяць за вымагальнікамі Mespinoza (Pysa), таксама нядаўна распрацавалі варыянт Linux з пачатковай версіі Windows. Па дадзеных Emsisoft, выяўленыя імі варыянты RansomEXX Linux упершыню былі рэалізаваны ў ліпені.

Гэта не першы выпадак, калі аператары шкоднасных праграм разглядаюць магчымасць распрацоўкі сваёй шкоднай праграмы для Linux.

Напрыклад, мы можам прывесці выпадак з шкоднасным праграмным забеспячэннем KillDisk, які быў выкарыстаны для паралізацыі электрычнай сеткі ва Украіне ў 2015 годзе.

Гэты варыянт зрабіў "машыны Linux немагчыма загрузіць пасля таго, як зашыфравалі файлы і запатрабавалі вялікі выкуп". У ім была версія для Windows і Linux, "што, безумоўна, мы бачым не кожны дзень", адзначылі даследчыкі ESET.

Нарэшце, калі вы хочаце даведацца больш пра гэта, вы можаце праверыць падрабязнасці публікацыі Касперскага Па наступнай спасылцы.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

4 каментарыяў, пакіньце свой

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

  1.   TucuHacker.es сказаў

    Дзіўна! Добры пост! На ўра

    1.    Асноўны Linux сказаў

      Linux быў маім адзіным выратаваннем, каб пазбегнуць шкоднасных праграм, сапраўды шкада ...

  2.   # ЗрабіцеRansomExxGreatAgain сказаў

    ЯК ВЯЛІКІ! МЫ ЎСЕ ВЕДАЛІ, РАНСОМЭКСК ПАДРАБІЦЦА!

  3.   Хуліа Калісая SI3K1 сказаў

    Выдатная нататка