Versi RansomEXX untuk Linux dikesan

Penyelidik dari Kaspersky Lab telah mengenal pasti a Versi Linux dperisian hasad ransomware "RansomEXX".

Pada mulanya, RansomEXX diedarkan hanya di platform Windows dan menjadi terkenal kerana beberapa insiden besar dengan kekalahan sistem pelbagai agensi dan syarikat kerajaan, termasuk Jabatan Perhubungan Texas dan Konica Minolta.

Mengenai RansomEXX

RansomEXX menyulitkan data pada cakera dan kemudian memerlukan tebusan untuk mendapatkan kunci penyahsulitan. 

Penyulitan disusun menggunakan perpustakaan mbedtls de Sumber terbuka. Setelah dilancarkan, malware menghasilkan kunci 256-bit dan menggunakannya untuk menyulitkan semua fail yang ada menggunakan penyulitan blok AES dalam mod ECB. 

Selepas itu, kunci AES baru dihasilkan setiap saat, iaitu, fail yang berbeza disulitkan dengan kunci AES yang berbeza.

Setiap kunci AES dienkripsi menggunakan kunci awam RSA-4096 tertanam dalam kod perisian hasad dan dilampirkan pada setiap fail yang dienkripsi. Untuk penyahsulitan, ransomware menawarkan untuk membeli kunci peribadi dari mereka.

Ciri khas RansomEXX Ia adalah anda gunakan dalam serangan yang disasarkan, di mana penyerang mendapat akses ke salah satu sistem di rangkaian melalui kompromi kelemahan atau kaedah kejuruteraan sosial, setelah itu mereka menyerang sistem lain dan menggunakan varian malware yang dipasang khas untuk setiap infrastruktur yang diserang, termasuk nama syarikat dan masing-masing maklumat hubungan yang berbeza.

Pada mulanya, semasa serangan ke atas rangkaian syarikat, penyerang mereka cuba mengawal seberapa banyak stesen kerja untuk memasang perisian hasad pada mereka, tetapi strategi ini ternyata tidak betul dan dalam banyak keadaan sistem dipasang semula menggunakan sandaran tanpa membayar wang tebusan. 

Sekarang strategi penjenayah siber telah berubah y tujuan mereka adalah terutamanya untuk mengalahkan sistem pelayan korporat dan terutamanya kepada sistem storan terpusat, termasuk yang menjalankan Linux.

Oleh itu, tidak menghairankan apabila melihat bahawa peniaga RansomEXX menjadikannya trend yang menentukan dalam industri ini; Pengendali ransomware lain juga mungkin menggunakan versi Linux di masa depan.

Kami baru-baru ini menemui Trojan enkripsi fail baru yang dibuat sebagai ELF yang dapat dilaksanakan dan bertujuan untuk menyulitkan data pada mesin yang dikendalikan oleh sistem operasi berasaskan Linux.

Setelah analisis awal, kami melihat persamaan dalam kod Trojan, teks nota tebusan, dan pendekatan umum untuk memeras ugut, menunjukkan bahawa kami sebenarnya telah menjumpai binaan Linux dari keluarga ransomware RansomEXX yang diketahui sebelumnya. Malware ini diketahui menyerang organisasi besar dan paling aktif awal tahun ini.

RansomEXX adalah Trojan yang sangat spesifik. Setiap sampel perisian hasad mengandungi nama yang dikodkan organisasi mangsa. Selanjutnya, kedua-dua peluasan fail yang dienkripsi dan alamat e-mel untuk menghubungi pemeras menggunakan nama mangsa.

Dan pergerakan ini nampaknya sudah bermula. Menurut firma keselamatan siber Emsisoft, selain RansomEXX, pengendali di belakang ransomware Mespinoza (Pysa) juga baru-baru ini mengembangkan varian Linux dari versi awal Windows mereka. Menurut Emsisoft, varian RansomEXX Linux yang mereka temui mula dilaksanakan pada bulan Julai.

Ini bukan kali pertama pengendali perisian hasad mempertimbangkan untuk mengembangkan versi perisian hasad Linux mereka.

Sebagai contoh, kita dapat menyebut kes malware KillDisk, yang telah digunakan untuk melumpuhkan grid kuasa di Ukraine pada tahun 2015.

Varian ini menjadikan "mesin Linux mustahil untuk boot, setelah mengenkripsi fail dan menuntut wang tebusan yang besar." Ia mempunyai versi untuk Windows dan versi untuk Linux, "yang pastinya sesuatu yang tidak kita lihat setiap hari," kata para penyelidik ESET.

Akhirnya, jika anda ingin mengetahui lebih lanjut mengenainya, anda boleh menyemak butiran penerbitan Kaspersky Dalam pautan berikut.