Une version de RansomEXX pour Linux a été détectée

Darkcrizt

Minutes 4

Chercheurs de Kaspersky Lab ont identifié un Linux version dmalware ransomware "RansomEXX".

Initialement, RansomEXX a été distribué uniquement sur la plate-forme Windows et est devenu célèbre en raison de plusieurs incidents majeurs avec la défaite des systèmes de divers organismes gouvernementaux et entreprises, y compris le ministère des Transports du Texas et Konica Minolta.

À propos de RansomEXX

RansomEXX crypte les données sur le disque et nécessite ensuite une rançon pour obtenir la clé de déchiffrement. 

Le chiffrement est organisé à l'aide de la bibliothèque mbedtls de Open source. Une fois lancé, le malware génère une clé de 256 bits et l'utilise pour crypter tous les fichiers disponibles à l'aide du cryptage par bloc AES en mode ECB. 

Après ça, une nouvelle clé AES est générée toutes les secondes, autrement dit, différents fichiers sont chiffrés avec différentes clés AES.

Chaque clé AES est chiffrée à l'aide d'une clé publique RSA-4096 intégré dans le code malveillant et est attaché à chaque fichier crypté. Pour le décryptage, le ransomware leur propose d'acheter une clé privée.

Une particularité de RansomEXX est l' utilisation dans des attaques ciblées, au cours de laquelle les attaquants accèdent à l'un des systèmes du réseau en compromettant des vulnérabilités ou des méthodes d'ingénierie sociale, après quoi ils attaquent d'autres systèmes et déploient une variante spécialement assemblée de malware pour chaque infrastructure attaquée, y compris le nom de l'entreprise et chacun des les différentes coordonnées.

Au départ lors de l'attaque des réseaux d'entreprise, les assaillants ils ont essayé de prendre le contrôle sur autant de postes de travail que possible pour y installer des logiciels malveillants, mais cette stratégie s'est avérée incorrecte et dans de nombreux cas, les systèmes ont simplement été réinstallés à l'aide d'une sauvegarde sans payer la rançon. 

maintenant la stratégie des cybercriminels a changé y leur objectif était principalement de vaincre les systèmes de serveurs d'entreprise et en particulier aux systèmes de stockage centralisés, y compris ceux exécutant Linux.

Par conséquent, il ne serait pas surprenant de voir que les commerçants de RansomEXX en ont fait une tendance déterminante dans l'industrie; D'autres opérateurs de ransomware pourraient également déployer des versions de Linux à l'avenir.

Nous avons récemment découvert un nouveau cheval de Troie de cryptage de fichiers créé en tant qu'exécutable ELF et destiné à crypter des données sur des machines contrôlées par des systèmes d'exploitation basés sur Linux.

Après une analyse initiale, nous avons remarqué des similitudes dans le code du cheval de Troie, le texte des notes de rançon et l'approche globale de l'extorsion, ce qui suggère que nous avions effectivement trouvé une version Linux de la famille de ransomwares RansomEXX précédemment connue. Ce malware est connu pour attaquer les grandes organisations et a été le plus actif au début de l'année.

RansomEXX est un cheval de Troie très spécifique. Chaque échantillon de logiciel malveillant contient un nom codé en dur de l'organisation victime. De plus, l'extension du fichier crypté et l'adresse e-mail pour contacter les extorqueurs utilisent le nom de la victime.

Et ce mouvement semble avoir déjà commencé. Selon la société de cybersécurité Emsisoft, en plus de RansomEXX, les opérateurs à l'origine du ransomware Mespinoza (Pysa) ont également récemment développé une variante Linux à partir de leur version initiale de Windows. Selon Emsisoft, les variantes Linux de RansomEXX qu'ils ont découvertes ont été implémentées pour la première fois en juillet.

Ce n'est pas la première fois que les opérateurs de malwares envisagent de développer une version Linux de leur malware.

Par exemple, on peut citer le cas du malware KillDisk, qui avait été utilisé pour paralyser un réseau électrique en Ukraine en 2015.

Cette variante rendait «les machines Linux impossibles à démarrer, après avoir chiffré les fichiers et exigé une grosse rançon». Il avait une version pour Windows et une version pour Linux, "ce que nous ne voyons certainement pas tous les jours", ont noté les chercheurs d'ESET.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails de la publication Kaspersky dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   TucuHacker.es dit
    il ya 3 ans.

    Incroyable! Bon message! À votre santé

    Répondre à TucuHacker.es
    1.    LinuxPrincipal dit
      il ya 3 ans.

      Linux a été mon seul salut pour éviter les logiciels malveillants, vraiment dommage ...

      Répondre à LinuxMain
  2.   #MakeRansomExxGreatAgain dit
    il ya 3 ans.

    DE QUELLE TAILLE! NOUS SAVONS TOUS QUE RANSOMEXX allait renaître!

    Répondre à #MakeRansomExxGreatAgain
  3.   Julio Calisaya SI3K1 dit
    il ya 2 ans.

    Excellente note

    Répondre à Julio Calisaya SI3K1