Versi RansomEXX untuk Linux terdeteksi

Peneliti dari Lab Kaspersky telah mengidentifikasi a Versi Linux dmalware ransomware "RansomEXX".

Awalnya, RansomEXX didistribusikan hanya di platform Windows dan menjadi terkenal karena beberapa insiden besar dengan kekalahan sistem berbagai lembaga pemerintah dan perusahaan, termasuk Departemen Transportasi Texas dan Konica Minolta.

Tentang RansomEXX

RansomEXX mengenkripsi data pada disk dan kemudian membutuhkan tebusan untuk mendapatkan kunci dekripsi. 

Enkripsi diatur menggunakan perpustakaan mbedtls de Sumber Terbuka. Setelah diluncurkan, malware menghasilkan kunci 256-bit dan menggunakannya untuk mengenkripsi semua file yang tersedia menggunakan enkripsi blok AES dalam mode ECB. 

Setelah itu, kunci AES baru dibuat setiap detik, artinya, file yang berbeda dienkripsi dengan kunci AES yang berbeda.

Setiap kunci AES dienkripsi menggunakan kunci publik RSA-4096 tertanam dalam kode malware dan dilampirkan ke setiap file yang dienkripsi. Untuk dekripsi, ransomware menawarkan untuk membeli kunci pribadi dari mereka.

Fitur khusus RansomEXX adalah digunakan dalam serangan yang ditargetkan, di mana penyerang mendapatkan akses ke salah satu sistem di jaringan melalui kompromi kerentanan atau metode rekayasa sosial, setelah itu mereka menyerang sistem lain dan menyebarkan varian malware yang dirakit secara khusus untuk setiap infrastruktur yang diserang, termasuk nama perusahaan dan masing-masing detail kontak yang berbeda.

Mulanya, selama serangan terhadap jaringan perusahaan, para penyerang mereka mencoba untuk mengambil kendali sebanyak mungkin workstation untuk menginstal malware pada mereka, tetapi strategi ini ternyata tidak benar dan dalam banyak kasus sistem hanya diinstal ulang menggunakan cadangan tanpa membayar uang tebusan. 

sekarang Strategi penjahat dunia maya telah berubah y tujuan utama mereka adalah mengalahkan sistem server perusahaan dan terutama untuk sistem penyimpanan terpusat, termasuk yang menjalankan Linux.

Jadi tidak mengherankan melihat bahwa pedagang RansomEXX telah menjadikannya tren yang menentukan dalam industri; Operator ransomware lain juga dapat menggunakan versi Linux di masa mendatang.

Kami baru-baru ini menemukan enkripsi file baru yang dibuat Trojan sebagai ELF yang dapat dieksekusi dan dimaksudkan untuk mengenkripsi data pada mesin yang dikendalikan oleh sistem operasi berbasis Linux.

Setelah analisis awal, kami menemukan kesamaan dalam kode Trojan, teks catatan tebusan, dan pendekatan umum untuk pemerasan, yang menunjukkan bahwa kami memang menemukan versi Linux dari ransomware RansomEXX yang sebelumnya dikenal. Malware ini diketahui menyerang organisasi besar dan paling aktif awal tahun ini.

RansomEXX adalah Trojan yang sangat spesifik. Setiap sampel malware berisi nama yang dikodekan dari organisasi korban. Selanjutnya, baik ekstensi dari file yang dienkripsi dan alamat email untuk menghubungi pemeras menggunakan nama korban.

Dan gerakan ini sepertinya sudah dimulai. Menurut firma keamanan siber Emsisoft, selain RansomEXX, operator di balik ransomware Mespinoza (Pysa) juga baru-baru ini mengembangkan varian Linux dari versi awal Windows mereka. Menurut Emsisoft, varian RansomEXX Linux yang mereka temukan pertama kali diimplementasikan pada bulan Juli.

Ini bukan pertama kalinya operator malware mempertimbangkan untuk mengembangkan versi Linux dari malware mereka.

Misalnya, kami dapat mengutip kasus malware KillDisk, yang telah digunakan untuk melumpuhkan jaringan listrik di Ukraina pada tahun 2015.

Varian ini membuat "mesin Linux tidak mungkin untuk boot, setelah mengenkripsi file dan menuntut uang tebusan yang besar." Itu memiliki versi Windows dan versi Linux, "yang pasti sesuatu yang tidak kita lihat setiap hari," catat para peneliti ESET.

Terakhir, jika Anda ingin mengetahui lebih lanjut, Anda dapat memeriksa detail publikasi Kaspersky Di tautan berikut.