Vědci z Kaspersky Lab identifikovali a Linux verze dransomwarový malware "RansomEXX".
Zpočátku RansomEXX byl distribuován pouze na platformě Windows a stal se slavným kvůli několika velkým incidentům s porážkou systémů různých vládních agentur a společností, včetně ministerstva dopravy v Texasu a Konica Minolta.
O společnosti RansomEXX
RansomEXX šifruje data na disku a poté vyžaduje výkupné získat dešifrovací klíč.
Šifrování je organizováno pomocí knihovny mbedtls de Otevřený zdroj. Po spuštění malware generuje 256bitový klíč a používá jej k šifrování všech dostupných souborů pomocí šifrování bloku AES v režimu ECB.
Potom, každou sekundu je generován nový klíč AES, to znamená, že různé soubory jsou šifrovány různými klíči AES.
Každý klíč AES je šifrován pomocí veřejného klíče RSA-4096 vložený do malwarového kódu a je připojen ke každému šifrovanému souboru. Pro dešifrování ransomware nabízí nákup soukromého klíče od nich.
Speciální funkce RansomEXX je použití při cílených útocích, během kterého útočníci získají přístup k jednomu ze systémů v síti prostřednictvím ohrožení zranitelnosti nebo metod sociálního inženýrství, poté zaútočí na jiné systémy a nasadí speciálně sestavenou variantu malwaru pro každou napadenou infrastrukturu, včetně názvu společnosti a každého z nich různé kontaktní údaje.
Zpočátku během útoku na podnikové sítě, útočníci pokusili se převzít kontrolu instalace co největšího počtu pracovních stanic, ale tato strategie se ukázala jako nesprávná a v mnoha případech byly systémy jednoduše přeinstalovány pomocí zálohy bez zaplacení výkupného.
Nyní strategie kybernetických zločinců se změnila y jejich cílem bylo především porazit systémy podnikových serverů a zejména na centralizované úložné systémy, včetně systémů se systémem Linux.
Nebylo by proto překvapením vidět, že obchodníci společnosti RansomEXX z ní učinili určující trend v tomto odvětví; Další operátoři ransomwaru mohou v budoucnu nasadit také verze systému Linux.
Nedávno jsme objevili nové trojské šifrování souborů vytvořené jako spustitelný soubor ELF a určené k šifrování dat na strojích ovládaných operačními systémy založenými na Linuxu.
Po počáteční analýze jsme si všimli podobností v kódu Trojana, textu poznámek o výkupném a obecného přístupu k vydírání, což naznačuje, že jsme ve skutečnosti našli Linuxovou sestavu dříve známé rodiny ransomEXX ransomware. Je známo, že tento malware útočí na velké organizace a byl nejaktivnější na začátku tohoto roku.
RansomEXX je velmi specifický trojský kůň. Každý vzorek malwaru obsahuje zakódovaný název organizace oběti. Kromě toho přípona šifrovaného souboru a e-mailová adresa pro kontaktování vydíratelů používají jméno oběti.
A zdá se, že toto hnutí již začalo. Podle firmy Emsisoft pro kybernetickou bezpečnost vyvinuli kromě RansomEXX i operátoři ransomwaru Mespinoza (Pysa) také variantu Linuxu z jejich původní verze Windows. Podle Emsisoftu byly varianty RansomEXX Linux, které objevili, poprvé implementovány v červenci.
Není to poprvé, co provozovatelé malwaru uvažují o vývoji linuxové verze svého malwaru.
Můžeme například uvést případ malwaru KillDisk, který byl použit v roce 2015 k paralyzování energetické sítě na Ukrajině.
Tato varianta znemožnila „spuštění strojů Linux po zašifrování souborů a požadavku velkého výkupného.“ Měl verzi pro Windows a verzi pro Linux, „což je určitě něco, co nevidíme každý den,“ poznamenali vědci ESET.
Nakonec, pokud se o tom chcete dozvědět více, můžete zkontrolovat podrobnosti publikace Kaspersky Na následujícím odkazu.
Úžasný! Dobrý příspěvek! Na zdraví
Linux byl mojí jedinou záchranou, jak se vyhnout Malware, opravdu škoda ...
JAK VELKÝ! Všichni jsme věděli, že se RANSOMEXX ZRODÍ!
Vynikající poznámka