Linux 용 RansomEXX 버전이 감지되었습니다.

연구원 카스퍼 스키 랩 확인했습니다 Linux 버전 d랜섬웨어 악성 코드 "RansomEXX".

처음에는 RansomEXX Windows 플랫폼에서만 배포되었습니다. 텍사스 교통부와 코니카 미놀타를 포함한 다양한 정부 기관 및 회사의 시스템이 무너지면서 여러 주요 사건으로 유명해졌습니다.

RansomEXX 정보

RansomEXX는 디스크의 데이터를 암호화 한 다음 몸값을 요구합니다 암호 해독 키를 얻으려면. 

암호화는 라이브러리를 사용하여 구성됩니다. mbedtls de 오픈 소스. 일단 시작되면 악성 코드는 256 비트 키를 생성합니다. ECB 모드에서 AES 블록 암호화를 사용하여 사용 가능한 모든 파일을 암호화하는 데 사용합니다. 

그 후 새로운 AES 키가 매초 생성됩니다. 즉, 서로 다른 파일이 서로 다른 AES 키로 암호화됩니다.

각 AES 키는 RSA-4096 공개 키를 사용하여 암호화됩니다. 맬웨어 코드에 포함 암호화 된 모든 파일에 첨부됩니다.. 해독을 위해 랜섬웨어는 그들로부터 개인 키를 구입하도록 제안합니다.

RansomEXX의 특징 이 표적 공격에 사용, 공격자가 취약성 또는 사회 공학 방법의 손상을 통해 네트워크의 시스템 중 하나에 액세스 한 후 다른 시스템을 공격하고 공격받은 각 인프라에 대해 회사 이름과 각 인프라를 포함하여 특수하게 조합 된 악성 코드 변종을 배포합니다. 다른 연락처 정보.

처음에는 기업 네트워크에 대한 공격 중, 공격자 그들은 통제하려고했다 가능한 한 많은 워크 스테이션에 맬웨어를 설치할 수 있었지만이 전략은 잘못된 것으로 판명되었으며 많은 경우 시스템은 몸값을 지불하지 않고 백업을 사용하여 간단히 재설치되었습니다. 

지금 사이버 범죄자의 전략이 변경되었습니다 y 그들의 목표는 주로 기업 서버 시스템을 물리 치는 것이 었습니다. 특히 Linux를 실행하는 시스템을 포함한 중앙 집중식 스토리지 시스템에 적용됩니다.

따라서 RansomEXX 거래자들이 업계에서이를 정의하는 추세로 만들었다는 사실은 놀라운 일이 아닙니다. 다른 랜섬웨어 운영자도 향후 Linux 버전을 배포 할 수 있습니다.

최근에 ELF 실행 파일로 생성되고 Linux 기반 운영 체제로 제어되는 시스템의 데이터를 암호화하기위한 새로운 파일 암호화 트로이 목마를 발견했습니다.

초기 분석 후, 우리는 트로이 목마의 코드, 랜섬 노트의 텍스트 및 전반적인 갈취 접근 방식에서 유사점을 발견하여 이전에 알려진 RansomEXX 랜섬웨어 제품군의 Linux 빌드를 실제로 발견했음을 시사합니다. 이 악성 코드는 대규모 조직을 공격하는 것으로 알려져 있으며 올해 초 가장 활발했습니다.

RansomEXX는 매우 특정한 트로이 목마입니다. 맬웨어의 각 샘플에는 피해자 조직의 인코딩 된 이름이 포함되어 있습니다. 또한 암호화 된 파일의 확장자와 강탈 범에게 연락하기위한 이메일 주소 모두 피해자의 이름을 사용합니다.

그리고이 운동은 이미 시작된 것 같습니다. 사이버 보안 회사 인 Emsisoft에 따르면 RansomEXX 외에도 Mespinoza (Pysa) 랜섬웨어의 운영자는 최근 초기 버전의 Windows에서 Linux 변종을 개발했습니다. Emsisoft에 따르면 그들이 발견 한 RansomEXX Linux 변종은 XNUMX 월에 처음 구현되었습니다.

멀웨어 운영자가 멀웨어의 Linux 버전 개발을 고려한 것은 이번이 처음이 아닙니다.

예를 들어 2015 년 우크라이나에서 전력망을 마비시키는 데 사용 된 KillDisk 악성 코드 사례를들 수 있습니다.

이 변종은 "파일을 암호화하고 큰 몸값을 요구 한 후 Linux 시스템을 부팅 할 수 없게 만들었습니다." ESET 연구자들은 "Windows 용 버전과 Linux 용 버전이 있었는데 이는 우리가 매일 보지 못하는 것"이라고 말했습니다.

마지막으로 이에 대해 더 알고 싶다면 Kaspersky 발행물의 세부 정보를 확인할 수 있습니다. 다음 링크에서.