Линуксд зориулсан RansomEXX хувилбарыг илрүүлэв

Судлаачид Kaspersky Lab тодорхойлсон a Линуксийн хувилбар dransomware үзүүлж чадахгүй "RansomEXX".

Эхлээд RansomEXX зөвхөн Windows платформ дээр тараагдсан Техасын Тээврийн газар, Коника Минолта зэрэг засгийн газрын янз бүрийн агентлаг, компаниудын систем ялагдсанаас болж хэд хэдэн томоохон үйл явдлын улмаас алдартай болсон.

RansomEXX-ийн тухай

RansomEXX нь өгөгдлийг дискэн дээр шифрлээд дараа нь золиос шаарддаг шифр тайлах түлхүүрийг авах. 

Шифрлэлтийг номын санг ашиглан зохион байгуулдаг mbedtls de Нээлттэй эх сурвалж. Нэгэнт ажиллуулсны дараа хортой програм нь 256 битийн түлхүүр үүсгэдэг ECB горимд AES блок шифрлэлтийг ашиглан бүх боломжтой файлуудыг шифрлэхэд ашигладаг. 

Үүний дараа, секунд тутамд шинэ AES түлхүүр бий болдог, өөр файлууд нь өөр AES товчлууруудаар шифрлэгддэг.

AES түлхүүр бүрийг RSA-4096 нийтийн түлхүүр ашиглан шифрлэдэг хортой програмын кодонд суулгасан шифрлэгдсэн файл бүрт хавсаргасан болно. Шифрийг тайлахын тулд ransomware нь тэднээс хувийн түлхүүр худалдаж авахыг санал болгож байна.

RansomEXX-ийн онцлог шинж чанар Энэ бол чинийх зорилтот халдлагад ашиглах, халдлага үйлдэгчид эмзэг байдал эсвэл нийгмийн инженерийн аргуудыг буулгах замаар сүлжээн дэх аль нэг системд нэвтрэх эрх олж авдаг бөгөөд үүний дараа бусад систем рүү довтолж, халдлагад өртсөн дэд бүтэц тус бүрт хорлонтой програмын тусгайлан угсарсан хувилбарыг байрлуулдаг. өөр холбоо барих мэдээлэл.

Эхний ээлжинд корпорацийн сүлжээнд халдах үеэр, халдагчид тэд хяналтаа авах гэж оролдсон аль болох олон ажлын станцуудаас хортой програм суулгах боломжтой байсан боловч энэ стратеги нь буруу болж, ихэнх тохиолдолд төлбөрийг төлөхгүйгээр нөөцийг ашиглан системийг дахин суулгасан болно. 

Одоо кибер гэмт хэрэгтнүүдийн стратеги өөрчлөгдсөн y тэдний зорилго нь юуны түрүүнд корпорацийн серверийн системийг ялах явдал байв ялангуяа төвлөрсөн хадгалах системүүд, үүнд Линукс ажиллуулдаг системүүд.

Тиймээс RansomEXX-ийн худалдаачид үүнийг салбарын тодорхойлогч чиг хандлага болгосныг харахад гайхах зүйлгүй байх; Бусад ransomware операторууд ирээдүйд Линуксийн хувилбаруудыг байрлуулж магадгүй юм.

Линукс дээр суурилсан үйлдлийн системүүдээр хянагддаг машинууд дээрх өгөгдлийг шифрлэх зорилготой ELF програм хэлбэрээр бүтээсэн шинэ файлын шифрлэлт Trojan-ийг бид саяхан олж илрүүллээ.

Эхний анализ хийсний дараа бид Трояны код, золиосны текстийн текст, мөнгө нэхэх ерөнхий хандлагын ижил төстэй шинж чанаруудыг анзаарсан бөгөөд бид урьд өмнө нь мэдэгдэж байсан RansomEXX гэр бүлийн золиосны програмыг Линукс хэлбэрээр олсон гэж таамаглаж байна. Энэхүү хортой програм нь томоохон байгууллагуудад халддаг болохыг мэддэг бөгөөд энэ оны эхээр хамгийн идэвхтэй байсан.

RansomEXX бол маш тодорхой Trojan юм. Хортой програмын дээж бүр хохирогчийн байгууллагын кодчилогдсон нэрийг агуулдаг. Цаашилбал, шифрлэгдсэн файлын өргөтгөл болон хулгайлагчидтай холбоо барих имэйл хаяг хоёулаа хохирогчийн нэрийг ашигладаг.

Энэ хөдөлгөөн аль хэдийн эхэлсэн бололтой. Цахим аюулгүй байдлын Emsisoft фирмийн мэдээлснээр RansomEXX-ээс гадна Mespinoza (Pysa) ransomware-ийн ард ажилладаг операторууд саяхан Windows-ийн анхны хувилбараасаа Linux хувилбарыг боловсруулсан байна. Emsisoft-ийн мэдээлснээр тэдний олж илрүүлсэн RansomEXX Linux хувилбаруудыг XNUMX-р сард анх хэрэгжүүлсэн байна.

Энэ нь хортой програмын операторууд өөрсдийн үзүүлж чадахгүй програмынхаа Линукс хувилбарыг хөгжүүлэх гэж байгаа анхны тохиолдол биш юм.

Жишээлбэл, 2015 онд Украйны эрчим хүчний сүлжээг саажилттай болгоход ашиглаж байсан KillDisk хортой програмын жишээг дурдаж болно.

Энэ хувилбар нь "Линуксийн машинуудыг файлуудыг шифрлээд их хэмжээний золиос шаардсаны дараа ачаалах боломжгүй болгосон." Энэ нь Windows, Линуксд зориулсан хувилбартай байсан бөгөөд энэ нь "бидний өдөр бүр олж харахгүй зүйл" гэж ESET судлаачид тэмдэглэжээ.

Эцэст нь, хэрэв та энэ талаар илүү ихийг мэдэхийг хүсвэл Касперский хэвлэлийн талаархи дэлгэрэнгүй мэдээллийг шалгаж болно Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

3 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   TucuHacker.es гэж хэлэв

    Гайхалтай! Сайн бичлэг! Баяр хүргэе

    1.    LinuxMain гэж хэлэв

      Линукс бол хортой програмаас зайлсхийх миний цорын ганц аврал байсан, үнэхээр ичгүүртэй ...

  2.   #MansRansomExxGreatAgain гэж хэлэв

    ХЭР ТОМ! Бид бүгдээрээ RANSOMEXX-ийг дахин төрөх гэж байгааг мэдэж байсан!