Εντοπίστηκε μια έκδοση του RansomEXX για Linux

Ερευνητές από Kaspersky Lab έχουν εντοπίσει ένα Έκδοση Linux dκακόβουλο λογισμικό ransomware "RansomEXX".

Αρχικά, RansomEXX διανεμήθηκε μόνο στην πλατφόρμα των Windows και έγινε διάσημη λόγω πολλών σημαντικών περιστατικών με την ήττα των συστημάτων διαφόρων κυβερνητικών υπηρεσιών και εταιρειών, συμπεριλαμβανομένου του Υπουργείου Μεταφορών του Τέξας και της Konica Minolta.

Σχετικά με το RansomEXX

Το RansomEXX κρυπτογραφεί δεδομένα στο δίσκο και στη συνέχεια απαιτεί λύτρα για να λάβετε το κλειδί αποκρυπτογράφησης. 

Η κρυπτογράφηση οργανώνεται χρησιμοποιώντας τη βιβλιοθήκη μπεντλς de Ανοιχτή πηγή. Μόλις ξεκινήσει, το κακόβουλο λογισμικό δημιουργεί ένα κλειδί 256-bit και το χρησιμοποιεί για να κρυπτογραφήσει όλα τα διαθέσιμα αρχεία χρησιμοποιώντας κρυπτογράφηση μπλοκ AES σε λειτουργία ECB. 

Μετά από αυτό, δημιουργείται ένα νέο κλειδί AES κάθε δευτερόλεπτο, Δηλαδή, διαφορετικά αρχεία κρυπτογραφούνται με διαφορετικά κλειδιά AES.

Κάθε κλειδί AES κρυπτογραφείται χρησιμοποιώντας ένα δημόσιο κλειδί RSA-4096 ενσωματωμένο σε κώδικα κακόβουλου λογισμικού και επισυνάπτεται σε κάθε κρυπτογραφημένο αρχείο. Για αποκρυπτογράφηση, το ransomware προσφέρει να αγοράσει ένα ιδιωτικό κλειδί από αυτά.

Ένα ειδικό χαρακτηριστικό του RansomEXX είναι η χρήση σε στοχευμένες επιθέσεις, κατά τη διάρκεια του οποίου οι εισβολείς αποκτούν πρόσβαση σε ένα από τα συστήματα του δικτύου μέσω συμβιβασμού τρωτών σημείων ή μεθόδων κοινωνικής μηχανικής, μετά την οποία επιτίθενται σε άλλα συστήματα και αναπτύσσουν μια ειδικά συναρμολογημένη παραλλαγή κακόβουλου λογισμικού για κάθε επιθετική υποδομή, συμπεριλαμβανομένου του ονόματος της εταιρείας και κάθε τα διάφορα στοιχεία επικοινωνίας.

Αρχικά, κατά τη διάρκεια της επίθεσης σε εταιρικά δίκτυα, οι επιτιθέμενοι προσπάθησαν να πάρουν τον έλεγχο από όσο το δυνατόν περισσότερους σταθμούς εργασίας για την εγκατάσταση κακόβουλου λογισμικού σε αυτούς, αλλά αυτή η στρατηγική αποδείχθηκε λανθασμένη και σε πολλές περιπτώσεις τα συστήματα επανεγκαταστάθηκαν απλά χρησιμοποιώντας ένα αντίγραφο ασφαλείας χωρίς να πληρώσουν τα λύτρα. 

Τώρα Η στρατηγική του εγκλήματος στον κυβερνοχώρο έχει αλλάξει y στόχος τους ήταν να νικήσουν πρωτίστως εταιρικά συστήματα διακομιστών και ειδικά σε κεντρικά συστήματα αποθήκευσης, συμπεριλαμβανομένων εκείνων που εκτελούν Linux.

Επομένως, δεν θα ήταν έκπληξη το γεγονός ότι οι έμποροι της RansomEXX το έχουν κάνει μια καθοριστική τάση στον κλάδο. Άλλοι χειριστές ransomware ενδέχεται επίσης να αναπτύξουν εκδόσεις Linux στο μέλλον.

Ανακαλύψαμε πρόσφατα ένα νέο trojan κρυπτογράφησης αρχείων που δημιουργήθηκε ως εκτελέσιμο ELF και προοριζόταν να κρυπτογραφήσει δεδομένα σε μηχανήματα που ελέγχονται από λειτουργικά συστήματα που βασίζονται σε Linux.

Μετά την αρχική ανάλυση, παρατηρήσαμε ομοιότητες στον κώδικα του Δούρειου, το κείμενο των σημειώσεων λύτρων και τη γενική προσέγγιση της εκβιασμού, υποδηλώνοντας ότι πράγματι βρήκαμε μια κατασκευή Linux της προηγούμενης γνωστής οικογένειας RansomEXX ransomware. Αυτό το κακόβουλο λογισμικό είναι γνωστό ότι επιτίθεται σε μεγάλους οργανισμούς και ήταν πιο ενεργό νωρίτερα φέτος.

Το RansomEXX είναι ένα πολύ συγκεκριμένο Trojan. Κάθε δείγμα κακόβουλου λογισμικού περιέχει ένα όνομα κωδικού πρόσβασης του οργανισμού θύματος. Επιπλέον, τόσο η επέκταση του κρυπτογραφημένου αρχείου όσο και η διεύθυνση email για επικοινωνία με τους εκβιαστές χρησιμοποιούν το όνομα του θύματος.

Και αυτό το κίνημα φαίνεται να έχει ήδη ξεκινήσει. Σύμφωνα με την εταιρεία κυβερνοασφάλειας Emsisoft, εκτός από το RansomEXX, οι χειριστές πίσω από το ransomware Mespinoza (Pysa) έχουν επίσης αναπτύξει πρόσφατα μια παραλλαγή Linux από την αρχική τους έκδοση των Windows. Σύμφωνα με την Emsisoft, οι παραλλαγές RansomEXX Linux που ανακάλυψαν εφαρμόστηκαν για πρώτη φορά τον Ιούλιο.

Δεν είναι η πρώτη φορά που οι χειριστές κακόβουλου λογισμικού σκέφτηκαν να αναπτύξουν μια έκδοση Linux του κακόβουλου λογισμικού τους.

Για παράδειγμα, μπορούμε να αναφέρουμε την περίπτωση του κακόβουλου λογισμικού KillDisk, το οποίο είχε χρησιμοποιηθεί για την παράλυση ενός δικτύου ηλεκτρικής ενέργειας στην Ουκρανία το 2015.

Αυτή η παραλλαγή έκανε "αδύνατη την εκκίνηση των μηχανών Linux, αφού κρυπτογράφησαν τα αρχεία και απαιτούσαν μια μεγάλη λύτρα." Είχε μια έκδοση για Windows και μια έκδοση για Linux, "που σίγουρα είναι κάτι που δεν βλέπουμε καθημερινά", δήλωσαν οι ερευνητές του ESET.

Τέλος, εάν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες της έκδοσης Kaspersky Στον ακόλουθο σύνδεσμο.