Linux用のRansomEXXのバージョンが検出されました

からの研究者 カスペルスキー研究所 を特定しました Linuxバージョンdランサムウェアマルウェア 「RansomEXX」。

当初、RansomEXX Windowsプラットフォームでのみ配布されました テキサス運輸局やコニカミノルタを含むさまざまな政府機関や企業のシステムの敗北によるいくつかの大きな事件で有名になりました。

RansomEXXについて

RansomEXXはディスク上のデータを暗号化してから、身代金を要求します 復号化キーを取得します。 

暗号化はライブラリを使用して編成されます ムベトルス de オープンソース。 発売後、 マルウェアは256ビットのキーを生成します ECBモードでAESブロック暗号化を使用して、使用可能なすべてのファイルを暗号化するために使用します。 

その後、 新しいAESキーが毎秒生成されます。 つまり、さまざまなファイルがさまざまなAESキーで暗号化されます。

各AESキーは、RSA-4096公開キーを使用して暗号化されます マルウェアコードに埋め込まれている 暗号化されたすべてのファイルに添付されます。 復号化のために、ランサムウェアはそれらから秘密鍵を購入することを提案します。

RansomEXXの特別な機能 です 標的型攻撃での使用、 その間、攻撃者は脆弱性やソーシャルエンジニアリング手法の侵害を通じてネットワーク上のシステムのいずれかにアクセスし、その後、他のシステムを攻撃し、攻撃されたインフラストラクチャごとに、名前を含む特別に組み立てられたマルウェアのバリアントを展開します。会社とそれぞれの異なる連絡先の詳細。

最初は 企業ネットワークへの攻撃中、攻撃者 彼らは支配しようとした できるだけ多くのワークステーションにマルウェアをインストールしますが、この戦略は正しくないことが判明し、多くの場合、システムは身代金を支払うことなくバックアップを使用して再インストールされました。 

現在 サイバー犯罪者の戦略が変わった y 彼らの目標は、主に企業のサーバーシステムを打ち負かすことでした 特に、Linuxを実行しているものを含む集中型ストレージシステムに。

したがって、RansomEXXのトレーダーがRansomEXXを業界の決定的なトレンドにしたことは驚くことではありません。 他のランサムウェアオペレーターも、将来的にLinuxのバージョンを展開する可能性があります。

最近、ELF実行可能として作成され、Linuxベースのオペレーティングシステムによって制御されるマシン上のデータを暗号化することを目的とした新しいファイル暗号化トロイの木馬を発見しました。

最初の分析の後、トロイの木馬のコード、身代金メモのテキスト、および強奪への一般的なアプローチに類似点があることに気付きました。これは、以前から知られているRansomEXXファミリーの身代金ウェアのLinuxビルドを実際に見つけたことを示唆しています。 このマルウェアは大規模な組織を攻撃することが知られており、今年初めに最も活発になりました。

RansomEXXは非常に特殊なトロイの木馬です。 各マルウェアサンプルには、被害者の組織のハードコードされた名前が含まれています。 さらに、暗号化されたファイルの拡張子と、強奪者に連絡するための電子メールアドレスの両方が被害者の名前を使用します。

そして、この動きはすでに始まっているようです。 サイバーセキュリティ会社のEmsisoftによると、RansomEXXに加えて、Mespinoza（Pysa）ランサムウェアの背後にいるオペレーターも、最近、初期バージョンのWindowsから始まるLinuxバリアントを開発しました。 Emsisoftによると、彼らが発見したRansomEXX Linuxバリアントは、XNUMX月に最初に実装されました。

マルウェアオペレーターがLinuxバージョンのマルウェアの開発を検討したのはこれが初めてではありません。

たとえば、2015年にウクライナの送電網を麻痺させるために使用されたKillDiskマルウェアの事例を引用することができます。

この変種は、「ファイルを暗号化し、大きな身代金を要求した後、Linuxマシンを起動できなくなった」。 ESETの研究者は、Windows用のバージョンとLinux用のバージョンがあり、「これは間違いなく私たちが毎日目にすることのないものです」と述べています。

最後に、それについてもっと知りたい場合は、Kasperskyの出版物の詳細を確認できます 次のリンクで。