Va ser detectada una versió de RansomEXX per a Linux

Darkcrizt

4 minuts

Els investigadors de Kaspersky Lab han identificat una versió per a Linux del malware ransomware RansomEXX.

Inicialment, RansomEXX es va distribuir només a la plataforma Windows i es va fer famós a causa de diversos incidents importants amb la derrota dels sistemes de diverses agències i empreses governamentals, inclòs el Departament de Transport de Texas i Konica Minolta.

sobre RansomEXX

RansomEXX xifra les dades en el disc i després requereix un rescat per obtenir la clau de desxifrat. 

El xifrat s'organitza utilitzant la biblioteca mbedtls de codi obert. Un cop llançat, el malware genera una clau de 256 bits i la fa servir per xifrar tots els arxius disponibles utilitzant el xifrat de bloc AES en mode ECB. 

Posterior a això, es genera una nova clau AES cada segon, és a dir, diferents arxius es xifren amb diferents claus AES.

Cada clau AES es xifra mitjançant una clau pública RSA-4096 incrustada al codi de malware i s'adjunta a cada arxiu xifrat. Per al desxifrat, el ransomware ofereix comprar-los una clau privada.

Una característica especial d'RansomEXX és la seva ús en atacs dirigits, durant els quals els atacants obtenen accés a un dels sistemes en la xarxa a través de l'compromís de vulnerabilitats o mètodes d'enginyeria social, després de la qual cosa ataquen altres sistemes i implementen una variant de codi maliciós especialment acoblada per a cada infraestructura atacada, inclòs el nom de l'empresa i cadascun dels diferents dades de contacte.

inicialment, durant l'atac a les xarxes corporatives, Els atacants van intentar fer-se amb el control de tantes estacions de treball com fos possible per a instal·lar malware en elles, però aquesta estratègia va resultar ser incorrecta i en molts casos els sistemes simplement es van reinstal·lar utilitzant una còpia de seguretat sense pagar el rescat. 

Ara l'estratègia dels ciberdelinqüents ha canviat y el seu objectiu era derrotar principalment als sistemes de servidors corporatius i especialment als sistemes d'emmagatzematge centralitzats, inclosos els que executen Linux.

Per tant, no seria sorprenent veure que els operadors de RansomEXX han fet que es converteixi en una tendència definitòria en la indústria; altres operadors de ransomware també poden implementar versions de Linux en el futur.

Recentment, vam descobrir un nou troià de xifrat d'arxius creat com un executable ELF i destinat a xifrar dades en màquines controlades per sistemes operatius basats en Linux.

Després de l'anàlisi inicial, vam notar similituds en el codi de l'troià, el text de les notes de rescat i l'enfocament general de l'extorsió, el que suggeria que de fet havíem trobat un recull de Linux de la família de ransomware anteriorment coneguda RansomEXX. Aquest malware és conegut per atacar grans organitzacions i va estar més actiu a principis d'aquest any.

RansomEXX és un troià molt específic. Cada mostra de l'malware conté un nom codificat de l'organització víctima. A més, tant l'extensió de l'arxiu xifrat com l'adreça de correu electrònic per contactar als extorsionadors fan ús de el nom de la víctima.

I aquest moviment sembla haver començat ja. Segons la signatura de ciberseguretat Emsisoft, a més de RansomEXX, els operadors darrere de l'ransomware Mespinoza (Pysa) també han desenvolupat recentment una variant de Linux a partir de la seva versió inicial de Windows. Segons Emsisoft, les variants de RansomEXX Linux que van descobrir es van implementar per primera vegada al juliol.

Aquesta no és la primera vegada que els operadors de malware han considerat desenvolupar una versió per a Linux de la seva malware.

Per exemple, podem citar el cas de l'malware KillDisk, que s'havia utilitzat per paralitzar una xarxa elèctrica a Ucraïna el 2015.

Aquesta variant va fer que «les màquines Linux fossin impossibles d'arrencar, després d'haver xifrat dels arxius i exigit un gran rescat». Tenia una versió per a Windows i una versió per a Linux, «que definitivament és una cosa que no veiem tots els dies», van assenyalar els investigadors d'ESET.

Finalment, si vols conèixer més a l'respecte, pots consultar els detalls de la publicació de Kaspersky en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   TucuHacker.es va dir
    fa 3 anys

    Increible! Bon post! Salutacions

    Respondre a TucuHacker.es
    1.    LinuxMain va dir
      fa 3 anys

      Linux era la meva única salvació per evitar els Malware, la veritat una pena ...

      Respondre a LinuxMain
  2.   #MakeRansomExxGreatAgain va dir
    fa 3 anys

    QUE GRANS! 'Tots sabíem que RANSOMEXX ANAVA A RENÉIXER!

    Respondre a #MakeRansomExxGreatAgain
  3.   Juliol Calisaya SI3K1 va dir
    fa 2 anys

    excel·lent nota

    Respondre a Julio Calisaya SI3K1