En version af RansomEXX til Linux blev fundet

Forskere fra Kaspersky Lab har identificeret en Linux-version dransomware-malware "RansomEXX".

Oprindeligt RansomEXX blev kun distribueret på Windows-platformen og blev berømt på grund af adskillige større hændelser med nederlag for forskellige statslige agenturer og virksomheder, herunder Texas Department of Transportation og Konica Minolta.

Om RansomEXX

RansomEXX krypterer data på disken og kræver derefter løsepenge for at få dekrypteringsnøglen. 

Kryptering er organiseret ved hjælp af biblioteket mbedtls de Open Source. En gang lanceret, malware genererer en 256-bit nøgle og bruger den til at kryptere alle tilgængelige filer ved hjælp af AES-blokkryptering i ECB-tilstand. 

Efter det, der genereres en ny AES-nøgle hvert sekund, det vil sige forskellige filer krypteres med forskellige AES-nøgler.

Hver AES-nøgle er krypteret ved hjælp af en RSA-4096 offentlig nøgle indlejret i malware-kode og er vedhæftet til hver krypterede fil. Til dekryptering tilbyder ransomware at købe en privat nøgle fra dem.

Et særligt træk ved RansomEXX Det er din brug i målrettede angreb hvor angribere får adgang til et af systemerne på netværket gennem kompromis med sårbarheder eller sociale ingeniørmetoder, hvorefter de angriber andre systemer og distribuerer en specielt samlet variant af malware til hver angrebet infrastruktur, herunder navnet på virksomheden og hver af de forskellige kontaktoplysninger.

I første omgang, under angrebet på virksomhedsnetværk, angriberne de forsøgte at tage kontrol af så mange arbejdsstationer som muligt for at installere malware på dem, men denne strategi viste sig at være forkert, og i mange tilfælde blev systemerne simpelthen geninstalleret ved hjælp af en sikkerhedskopi uden at betale løsepenge. 

Nu cyberkriminelle har ændret sig y deres mål var primært at besejre virksomhedsserver-systemer og især til centraliserede lagersystemer, inklusive dem, der kører Linux.

Så det ville ikke være overraskende at se, at RansomEXX-handlende har gjort det til en afgørende tendens i branchen; Andre ransomware-operatører kan også implementere versioner af Linux i fremtiden.

Vi opdagede for nylig en ny filkrypteringstrojan oprettet som en ELF-eksekverbar og beregnet til at kryptere data på maskiner styret af Linux-baserede operativsystemer.

Efter den indledende analyse bemærkede vi ligheder i Trojans kode, teksten i løsesummen og den generelle tilgang til afpresning, hvilket tyder på, at vi faktisk havde fundet en Linux-opbygning af den tidligere kendte RansomEXX-familie af ransomware. Denne malware er kendt for at angribe store organisationer og var mest aktiv tidligere på året.

RansomEXX er en meget specifik trojan. Hver prøve af malware indeholder et kodet navn på offerorganisationen. Desuden bruger både udvidelsen af ​​den krypterede fil og e-mail-adressen til at kontakte afpresningspersonerne navnet på offeret.

Og denne bevægelse ser ud til at være allerede startet. Ifølge cybersikkerhedsfirmaet Emsisoft har operatørerne bag Mespinoza (Pysa) ransomware foruden RansomEXX også for nylig udviklet en Linux-variant fra deres oprindelige version af Windows. Ifølge Emsisoft blev RansomEXX Linux-varianterne, de opdagede, først implementeret i juli.

Dette er ikke første gang, at malware-operatører overvejer at udvikle en Linux-version af deres malware.

For eksempel kan vi nævne sagen om KillDisk-malware, der var blevet brugt til at lamme et elnet i Ukraine i 2015.

Denne variant gjorde "Linux-maskiner umulige at starte, efter at have krypteret filerne og krævet en stor løsesum." Det havde en version til Windows og en version til Linux, "hvilket bestemt ikke er noget, vi ikke ser hver dag," sagde ESET-forskerne.

Endelig, hvis du vil vide mere om det, kan du kontrollere detaljerne i Kaspersky-publikationen I det følgende link.