Tuvastati Linuxi RansomEXX-i versioon

Los izmekladores de Kaspersky Lab on tuvastanud a Linuxi versioon dlunavara pahavara "RansomEXX".

Esialgu RansomEXX levitati ainult Windowsi platvormil ja sai tuntuks tänu mitmetele suurematele juhtumitele erinevate valitsusasutuste ja ettevõtete, sealhulgas Texase transpordiministeeriumi ja Konica Minolta süsteemide lüüasaamisel.

Teave RansomEXX-i kohta

RansomEXX krüpteerib kettal olevad andmed ja nõuab seejärel lunaraha dekrüpteerimisvõtme saamiseks. 

Krüptimine on korraldatud raamatukogu abil mbedtls de Avatud lähtekoodiga. Pärast käivitamist pahavara genereerib 256-bitise võtme ja kasutab seda kõigi saadaolevate failide krüptimiseks, kasutades AES-i plokkkrüptimist EKP režiimis. 

Pärast seda, iga sekundi järel luuakse uus AES-võti, see tähendab, et erinevad failid krüpteeritakse erinevate AES-võtmetega.

Iga AES-võti krüpteeritakse avaliku võtme RSA-4096 abil pahavarakoodi sisse põimitud ja on lisatud igale krüptitud failile. Dekrüpteerimiseks pakub lunavara neile privaatset võtit.

RansomEXXi eripära See on sinu kasutamine suunatud rünnakutes, mille jooksul ründajad saavad haavatavuste või sotsiaalsete insenerimeetodite kompromissi kaudu juurdepääsu võrgu ühele süsteemile, misjärel ründavad teisi süsteeme ja juurutavad iga rünnatud infrastruktuuri jaoks spetsiaalselt kokku pandud pahavara variandi, sealhulgas ettevõtte nime ja kõik erinevad kontaktandmed.

Esialgu rünnaku ajal ettevõtte võrkudele, ründajad nad üritasid kontrolli enda kätte saada võimalikult paljudest tööjaamadest, et neile pahavara installida, kuid see strateegia osutus valeks ja paljudel juhtudel installiti süsteemid lihtsalt varundust kasutades uuesti lunaraha maksmata. 

nüüd küberkurjategijate strateegia on muutunud y nende eesmärk oli eelkõige võita korporatiivsed serverisüsteemid ja eriti tsentraliseeritud salvestussüsteemidele, sealhulgas Linuxi kasutavatele.

Seega ei oleks üllatav näha, et RansomEXXi kauplejad on teinud sellest tööstuses määrava trendi; Ka teised lunavaraoperaatorid võivad tulevikus Linuxi versioone juurutada.

Hiljuti avastasime uue Trooja failide krüptimise, mis loodi ELF-i käivitatava failina ja mille eesmärk oli andmete krüptimine Linuxi-põhiste opsüsteemide juhitavatel masinatel.

Pärast esialgset analüüsi märkasime sarnasusi Trooja koodis, lunaraha märkmete tekstis ja väljapressimise üldises lähenemises, mis viitab sellele, et me leidsime tõepoolest varem teadaoleva RansomEXXi lunavara perekonna Linuxi järgu. See pahavara ründab teadaolevalt suuri organisatsioone ja oli selle aasta alguses kõige aktiivsem.

RansomEXX on väga spetsiifiline Trooja. Iga pahavara näidis sisaldab ohvriorganisatsiooni kodeeritud nime. Lisaks kasutavad nii krüpteeritud faili laiendus kui ka e-posti aadress väljapressijatega ühenduse võtmiseks ohvri nime.

Ja see liikumine näib olevat juba alanud. Küberturbeettevõtte Emsisofti sõnul on Mespinoza (Pysa) lunavara taga olevad operaatorid lisaks RansomEXX-ile hiljuti välja töötanud ka Linuxi variandi alates nende algsest Windowsi versioonist. Emsisofti sõnul rakendati nende avastatud RansomEXX Linuxi variante esmakordselt juulis.

See pole esimene kord, kui pahavaraoperaatorid kaaluvad oma pahavara Linuxi versiooni väljatöötamist.

Näiteks võime tuua pahavara KillDisk, mida oli kasutatud Ukrainas 2015. aastal elektrivõrgu halvamiseks.

See variant muutis "Linuxi masinate käivitamise võimatuks pärast failide krüptimist ja suure lunaraha nõudmist". Sellel oli Windowsi versioon ja Linuxi versioon, "mida kindlasti me iga päev ei näe," ütlesid ESETi teadlased.

Lõpuks, kui soovite selle kohta rohkem teada saada, saate kontrollida Kaspersky väljaande üksikasju Järgmisel lingil.