Открита е версия на RansomEXX за Linux

Изследователи от Kaspersky Lab са идентифицирали a Версия на Linux dзловреден софтуер за изкупване „RansomEXX“.

Първоначално RansomEXX се разпространяваше само на платформата на Windows и стана известен поради няколко големи инцидента с поражението на системите на различни правителствени агенции и компании, включително Тексаския департамент по транспорта и Konica Minolta.

Относно RansomEXX

RansomEXX криптира данните на диска и след това изисква откуп за да получите ключа за дешифриране. 

Шифроването се организира с помощта на библиотеката mbedtls de Отворен код. Веднъж пуснати, зловредният софтуер генерира 256-битов ключ и го използва за шифроване на всички налични файлове, използвайки AES блоково криптиране в режим ECB. 

След това, всяка секунда се генерира нов AES ключ, тоест, различни файлове се криптират с различни AES ключове.

Всеки AES ключ е шифрован с помощта на публичен ключ RSA-4096 вграден в зловреден код и е прикачен към всеки шифрован файл. За дешифриране рансъмуерът предлага да закупите частен ключ от тях.

Специална характеристика на RansomEXX Това е твоето използване при целенасочени атаки, по време на който нападателите получават достъп до една от системите в мрежата чрез компрометиране на уязвимости или методи за социално инженерство, след което атакуват други системи и разполагат специално сглобен вариант на зловреден софтуер за всяка атакувана инфраструктура, включително името на компанията и всяка от различните данни за контакт.

Първоначално, по време на атаката срещу корпоративни мрежи, нападателите те се опитаха да поемат контрола колкото се може повече работни станции, за да инсталират зловреден софтуер върху тях, но тази стратегия се оказа неправилна и в много случаи системите просто бяха преинсталирани с помощта на резервно копие, без да плащат откупа. 

Сега Стратегията на киберпрестъпниците се е променила y целта им беше преди всичко да победят корпоративните сървърни системи и по-специално към централизираните системи за съхранение, включително тези, работещи под Linux.

Така че не би било изненадващо да се види, че търговците на RansomEXX са го превърнали в определяща тенденция в бранша; Други оператори на рансъмуер също могат да внедрят версии на Linux в бъдеще.

Наскоро открихме нов троянски код за шифроване на файлове, създаден като ELF изпълним файл и предназначен за криптиране на данни на машини, контролирани от операционни системи, базирани на Linux.

След първоначалния анализ забелязахме сходства в кода на троянския код, текста на бележките за откупа и цялостния подход към изнудването, което предполага, че наистина сме намерили Linux компилация на известното преди това семейство RansomEXX на рансъмуер. Известно е, че този зловреден софтуер атакува големи организации и е бил най-активен по-рано тази година.

RansomEXX е много специфичен троянец. Всяка проба от зловреден софтуер съдържа твърдо кодирано име на организацията жертва. Освен това, както разширението на криптирания файл, така и имейл адресът за връзка с изнудвачите използват името на жертвата.

И това движение изглежда вече е започнало. Според фирмата за киберсигурност Emsisoft, в допълнение към RansomEXX, операторите зад рансъмуера Mespinoza (Pysa) също наскоро са разработили вариант на Linux, започвайки от първоначалната си версия на Windows. Според Emsisoft, откритите от тях варианти на RansomEXX Linux са внедрени за първи път през юли.

Това не е първият път, в който операторите на зловреден софтуер обмислят да разработят Linux версия на своя зловреден софтуер.

Например можем да цитираме случая със зловредния софтуер KillDisk, който е бил използван за парализиране на електрическа мрежа в Украйна през 2015 г.

Този вариант направи "машините на Linux невъзможни за зареждане, след като са шифровали файловете и са поискали голям откуп." Имаше версия за Windows и версия за Linux, "което определено е нещо, което не виждаме всеки ден", отбелязват изследователите на ESET.

И накрая, ако искате да научите повече за това, можете да проверите подробностите за публикацията на Kaspersky В следващия линк.