חוקרים מ מעבדת קספרסקי זיהו א גרסת לינוקס דתוכנות זדוניות כופר "RansomEXX".
בתחילה, RansomEXX הופץ רק בפלטפורמת Windows והתפרסם בשל מספר אירועים גדולים עם תבוסת המערכות של סוכנויות וחברות ממשלתיות שונות, כולל משרד התחבורה בטקסס וקוניקה מינולטה.
אודות RansomEXX
RansomEXX מצפין נתונים בדיסק ואז דורש כופר כדי לקבל את מפתח הפענוח.
ההצפנה מאורגנת באמצעות הספרייה mbedtls de קוד פתוח. לאחר ההשקה, התוכנה הזדונית מייצרת מפתח של 256 סיביות ומשתמש בו להצפנת כל הקבצים הזמינים באמצעות הצפנת בלוק AES במצב ECB.
לאחר מכן, מפתח AES חדש נוצר בכל שנייה, כלומר, קבצים שונים מוצפנים באמצעות מפתחות AES שונים.
כל מפתח AES מוצפן באמצעות מפתח ציבורי RSA-4096 מוטבע בקוד תוכנות זדוניות והוא מצורף לכל קובץ מוצפן. לצורך פענוח, תוכנת הכופר מציעה לקנות מהם מפתח פרטי.
תכונה מיוחדת של RansomEXX זה שלך שימוש בהתקפות ממוקדות, במהלכו תוקפים מקבלים גישה לאחת מהמערכות ברשת באמצעות פגיעות או שיטות הנדסיות חברתיות, לאחר מכן הם תוקפים מערכות אחרות ומפרסים גרסה זדונית שהורכבה במיוחד עבור כל תשתית מותקפת, כולל שם החברה וכל אחת מהשונות פרטי יצירת קשר.
בתחילה, במהלך ההתקפה על רשתות ארגוניות, התוקפים הם ניסו להשתלט כמה שיותר תחנות עבודה להתקין תוכנות זדוניות עליהן, אך אסטרטגיה זו התבררה כשגויה ובמקרים רבים מערכות פשוט הותקנו מחדש באמצעות גיבוי מבלי לשלם את הכופר.
עכשיו האסטרטגיה של עברייני רשת השתנתה y מטרתם הייתה להביס בעיקר מערכות שרתים ארגוניות ובמיוחד למערכות אחסון מרוכזות, כולל אלה שמריצות לינוקס.
לכן, זה לא יהיה מפתיע לראות כי סוחרי RansomEXX הפכו אותה למגמה מגדירה בענף; מפעילי כופר אחרים עשויים לפרוס בעתיד גם גרסאות של לינוקס.
לאחרונה גילינו טרויאני הצפנת קבצים חדש שנוצר כהפעלה ELF ונועד להצפין נתונים על מכונות הנשלטות על ידי מערכות הפעלה מבוססות לינוקס.
לאחר ניתוח ראשוני, הבחנו בדמיון בקוד של הטרויאני, בטקסט של הערות הכופר, ובגישה הכללית לסחיטה, מה שמרמז כי מצאנו למעשה מבנה לינוקס של משפחת הכופר RansomEXX הידועה בעבר. תוכנה זדונית זו ידועה כמתקיפה על ארגונים גדולים והייתה פעילה ביותר בתחילת השנה.
RansomEXX הוא טרויאני ספציפי מאוד. כל דגימה של תוכנות זדוניות מכילה שם מקודד של ארגון הקורבן. בנוסף, גם ההרחבה של הקובץ המוצפן וגם כתובת הדוא"ל ליצירת קשר עם הסחטנים משתמשים בשם הקורבן.
ונראה שהתנועה הזו כבר החלה. על פי חברת הסייבר Emsisoft, בנוסף ל- RansomEXX, המפעילים שעומדים מאחורי תוכנת הכופר Mespinoza (Pysa) פיתחו לאחרונה גם גרסת לינוקס מגרסתם הראשונית של Windows. לדברי Emsisoft, גרסאות ה- RansomEXX לינוקס שגילו יושמו לראשונה ביולי.
זו לא הפעם הראשונה שמפעילי תוכנה זדונית שוקלים לפתח גרסת לינוקס של התוכנה הזדונית שלהם.
לדוגמא, אנו יכולים לצטט את המקרה של התוכנה הזדונית KillDisk, ששימשה לשיתוק רשת חשמל באוקראינה בשנת 2015.
גרסה זו הפכה את "מכונות לינוקס לבלתי אפשריות לאתחול לאחר שהצפינו את הקבצים ודרשו כופר גדול." היו לה גרסאות חלונות וגרסת לינוקס, "שזה בהחלט משהו שאנחנו לא רואים כל יום", ציינו חוקרי ESET.
לבסוף, אם ברצונך לדעת יותר על כך, תוכל לבדוק את פרטי הפרסום של קספרסקי בקישור הבא.
מדהים! פוסט טוב! לחיים
לינוקס הייתה הישועה היחידה שלי להימנע מתוכנות זדוניות, ממש חבל ...
כמה גדול! כולנו ידענו ש- RANSOMEXX היינו הולכים ונולד מחדש!
הערה מעולה