Havaittiin RansomEXX for Linux -versio

Tutkijat Kaspersky Lab ovat tunnistaneet a Linux-versio dlunnasohjelma haittaohjelma "RansomEXX".

Aluksi RansomEXX jaettiin vain Windows-alustalle ja tuli tunnetuksi useiden suurten tapauksien takia, jotka johtivat useiden valtion virastojen ja yritysten järjestelmien häviämiseen, mukaan lukien Teksasin liikenneministeriö ja Konica Minolta.

Tietoja RansomEXX: stä

RansomEXX salaa tiedot levyltä ja vaatii sitten lunnaita saadaksesi salauksenavaimen. 

Salaus järjestetään kirjaston avulla mbedtls de Avoin lähdekoodi. Käynnistyksen jälkeen haittaohjelma luo 256-bittisen avaimen ja käyttää sitä salaamaan kaikki käytettävissä olevat tiedostot AES-lohkosalauksella EKP-tilassa. 

Sen jälkeen, uusi AES-avain luodaan joka sekunti, toisin sanoen eri tiedostot salataan eri AES-avaimilla.

Jokainen AES-avain salataan käyttämällä julkista RSA-4096-avainta upotettu haittaohjelmakoodiin ja on liitetty jokaiseen salattuun tiedostoon. Salauksen purkamista varten lunnasohjelma tarjoaa ostaa yksityisen avaimen heiltä.

RansomEXX: n erityispiirre Se on sinun käyttö kohdennetuissa hyökkäyksissä, jonka aikana hyökkääjät pääsevät käyttämään yhtä verkon järjestelmistä haavoittuvuuksien tai sosiaalisen suunnittelun menetelmien avulla. Tämän jälkeen hyökkääjät hyökkäävät muihin järjestelmiin ja ottavat käyttöön erityisen kootun haittaohjelmamuunnelman jokaiselle hyökkäysinfrastruktuurille, mukaan lukien nimi yrityksen tiedot ja kaikki yhteystiedot.

Aluksi yritysverkkojen hyökkäyksen aikana, hyökkääjät he yrittivät ottaa hallinnan mahdollisimman monta työasemaa haittaohjelmien asentamiseksi niihin, mutta tämä strategia osoittautui virheelliseksi ja monissa tapauksissa järjestelmät yksinkertaisesti asennettiin uudelleen varmuuskopiosta maksamatta lunnaita. 

Nyt verkkorikollisten strategia on muuttunut y heidän tavoitteena oli ensisijaisesti voittaa yrityspalvelinjärjestelmät ja erityisesti keskitettyihin tallennusjärjestelmiin, mukaan lukien Linuxia käyttävät.

Joten ei olisi yllättävää nähdä, että RansomEXX-kauppiaat ovat tehneet siitä alan määrittelevän trendin; Muut ransomware-operaattorit voivat myös ottaa Linux-versiot käyttöön tulevaisuudessa.

Äskettäin löysimme uuden tiedostojen salauksen, jonka troijalainen luotiin ELF-suoritettavana tiedostona ja jonka tarkoituksena oli salata tietoja koneilla, joita Linux-pohjaiset käyttöjärjestelmät ohjaavat.

Alustavan analyysin jälkeen huomasimme yhtäläisyyksiä troijalaisen koodissa, lunnaatekstien tekstissä ja yleisessä lähestymistavassa kiristykseen, mikä viittaa siihen, että olimme todellakin löytäneet Linux-version aikaisemmasta RansomEXX-lunnasohjelmaperheestä. Tämän haittaohjelman tiedetään hyökkäävän suuriin organisaatioihin, ja se oli aktiivisin aiemmin tänä vuonna.

RansomEXX on hyvin spesifinen troijalainen. Jokainen haittaohjelmanäyte sisältää kovakoodatun uhriorganisaation nimen. Lisäksi sekä salatun tiedoston laajennus että sähköpostiosoite yhteydenottoon kiristäjiin käyttävät uhrin nimeä.

Ja tämä liike näyttää olevan jo alkanut. Kyberturvallisuusyrityksen Emsisoftin mukaan Mespinoza (Pysa) lunnasohjelman takana olevat operaattorit ovat RansomEXX: n lisäksi äskettäin kehittäneet Linux-version alkuperäisestä Windows-versiosta alkaen. Emsisoftin mukaan heidän löytämänsä RansomEXX Linux -variantit otettiin käyttöön ensimmäisen kerran heinäkuussa.

Tämä ei ole ensimmäinen kerta, kun haittaohjelmien operaattorit ovat harkinneet Linux-version kehittämistä haittaohjelmistaan.

Voimme esimerkiksi vedota KillDisk-haittaohjelman tapaukseen, jota oli käytetty halvaamaan sähköverkko Ukrainassa vuonna 2015.

Tämä muunnos teki "Linux-koneiden käynnistämisen mahdottomaksi sen jälkeen, kun tiedostot oli salattu ja vaatinut suurta lunnaita". Siinä oli Windows- ja Linux-versio, "jota emme todellakaan näe päivittäin", ESET-tutkijat totesivat.

Lopuksi, jos haluat tietää enemmän siitä, voit tarkistaa Kaspersky-julkaisun tiedot Seuraavassa linkissä.