Tika konstatēta Linux RansomEXX versija

Pētnieki no Kaspersky Lab ir identificējuši a Linux versija dransomware ļaunprātīga programmatūra "RansomEXX".

Sākotnēji RansomEXX tika izplatīts tikai uz Windows platformas un kļuva slavena vairāku lielu incidentu dēļ ar dažādu valsts aģentūru un uzņēmumu, tostarp Teksasas Transporta departamenta un Konica Minolta, sistēmu sakāvi.

Par RansomEXX

RansomEXX šifrē datus diskā un pēc tam pieprasa izpirkuma maksu lai iegūtu atšifrēšanas atslēgu. 

Šifrēšana tiek organizēta, izmantojot bibliotēku mbedtls de Atvērtais avots. Pēc palaišanas ļaunprogrammatūra ģenerē 256 bitu atslēgu un izmanto to visu pieejamo failu šifrēšanai, izmantojot AES bloku šifrēšanu ECB režīmā. 

Pēc tam, katru sekundi tiek ģenerēta jauna AES atslēga, tas ir, dažādi faili tiek šifrēti ar dažādām AES atslēgām.

Katra AES atslēga tiek šifrēta, izmantojot RSA-4096 publisko atslēgu iegulti ļaunprogrammatūras kodā un tiek pievienots katram šifrētam failam. Atšifrēšanai ransomware piedāvā iegādāties no viņiem privātu atslēgu.

Īpaša RansomEXX iezīme Tā ir jūsu izmantošana mērķtiecīgos uzbrukumos, kuras laikā uzbrucēji piekļūst vienai no tīkla sistēmām, apdraudot ievainojamības vai sociālās inženierijas metodes, pēc tam viņi uzbrūk citām sistēmām un katrai uzbruktajai infrastruktūrai izvieto speciāli samontētu ļaunprogrammatūras variantu, ieskaitot nosaukumu uzņēmuma kontaktinformācija un katra atšķirīgā kontaktinformācija.

Sākotnēji uzbrukuma laikā korporatīvajiem tīkliem, uzbrucēji viņi mēģināja pārņemt kontroli pēc iespējas vairāk darbstaciju, lai tajās instalētu ļaunprātīgu programmatūru, taču šī stratēģija izrādījās nepareiza, un daudzos gadījumos sistēmas vienkārši tika atkārtoti instalētas, izmantojot dublējumu, nemaksājot izpirkuma maksu. 

Tagad kibernoziedznieku stratēģija ir mainījusies y viņu mērķis bija galvenokārt pieveikt korporatīvo serveru sistēmas un jo īpaši centralizētajām glabāšanas sistēmām, ieskaitot tās, kurās darbojas Linux.

Tāpēc nebūtu pārsteidzoši redzēt, ka RansomEXX tirgotāji ir padarījuši to par noteicošo tendenci nozarē; Citi ransomware operatori nākotnē var izvietot arī Linux versijas.

Nesen mēs atklājām jaunu failu šifrēšanas Trojas zirgu, kas izveidots kā ELF izpildāms un paredzēts datu šifrēšanai mašīnās, kuras kontrolē Linux operētājsistēmas.

Pēc sākotnējās analīzes mēs pamanījām Trojas zirgu koda, izpirkuma zīmju teksta un vispārējās pieejas izspiešanai līdzības, kas liek domāt, ka mēs faktiski esam atraduši iepriekš zināmās RansomEXX ransomware saimes Linux būvējumu. Ir zināms, ka šī ļaunprātīgā programmatūra uzbrūk lielām organizācijām un bija visaktīvākā šī gada sākumā.

RansomEXX ir ļoti specifisks Trojas zirgs. Katrā ļaunprātīgas programmatūras paraugā ir iekodēts upura organizācijas nosaukums. Turklāt gan šifrētā faila paplašinājums, gan e-pasta adrese, lai sazinātos ar izspiedējiem, izmanto upura vārdu.

Un šī kustība, šķiet, jau ir sākusies. Pēc kiberdrošības firmas Emsisoft ziņām, papildus RansomEXX, arī Mespinoza (Pysa) izpirkuma programmatūras operatori nesen ir izstrādājuši Linux variantu, sākot no sākotnējās Windows versijas. Kā ziņo Emsisoft, viņu atklātie RansomEXX Linux varianti pirmo reizi tika ieviesti jūlijā.

Šī nav pirmā reize, kad ļaunprātīgas programmatūras operatori apsver iespēju izstrādāt savas ļaunprogrammatūras Linux versiju.

Piemēram, mēs varam minēt ļaunprogrammatūras KillDisk gadījumu, kas tika izmantots, lai paralizētu elektrotīklu Ukrainā 2015. gadā.

Šis variants padarīja "Linux mašīnu neiespējamu sāknēšanu, pēc failu šifrēšanas un pieprasot lielu izpirkuma maksu". Tam bija Windows versija un Linux versija, "kas noteikti ir kaut kas, ko mēs ikdienā neredzam", atzīmēja ESET pētnieki.

Visbeidzot, ja vēlaties uzzināt vairāk par to, varat pārbaudīt Kaspersky publikācijas detaļas Šajā saitē.