Er is een versie van RansomEXX voor Linux gedetecteerd

Darkcrizt

4 minuten

Onderzoekers van Kaspersky Lab hebben een Linux-versie dransomware malware "RansomEXX".

Aanvankelijk was RansomEXX werd alleen verspreid op het Windows-platform en werd beroemd vanwege verschillende grote incidenten met de nederlaag van de systemen van verschillende overheidsinstanties en bedrijven, waaronder het Texas Department of Transportation en Konica Minolta.

Over RansomEXX

RansomEXX versleutelt gegevens op de schijf en vereist vervolgens losgeld om de decoderingssleutel te krijgen. 

Versleuteling wordt georganiseerd met behulp van de bibliotheek mbedtls de Open source. Eenmaal gelanceerd, de malware genereert een 256-bits sleutel en gebruikt het om alle beschikbare bestanden te versleutelen met behulp van AES-blokversleuteling in de ECB-modus. 

Daarna, elke seconde wordt een nieuwe AES-sleutel gegenereerd, dat wil zeggen, verschillende bestanden worden versleuteld met verschillende AES-sleutels.

Elke AES-sleutel is gecodeerd met een openbare RSA-4096-sleutel ingebed in malwarecode en wordt bij elk gecodeerd bestand gevoegd. Voor decodering biedt de ransomware aan om een ​​privésleutel van hen te kopen.

Een speciaal kenmerk van RansomEXX de gebruik bij gerichte aanvallen, waarbij aanvallers toegang krijgen tot een van de systemen op het netwerk door het compromitteren van kwetsbaarheden of social engineering-methoden, waarna ze andere systemen aanvallen en een speciaal samengestelde variant van malware inzetten voor elke aangevallen infrastructuur, inclusief de naam van het bedrijf en elk van de de verschillende contactgegevens.

in eerste instantie, tijdens de aanval op bedrijfsnetwerken, de aanvallers ze probeerden de controle over te nemen zoveel mogelijk werkstations om er malware op te installeren, maar deze strategie bleek niet te kloppen en in veel gevallen werden systemen eenvoudigweg opnieuw geïnstalleerd met behulp van een back-up zonder het losgeld te betalen. 

nu De strategie van cybercriminelen is veranderd y hun doel was om voornamelijk zakelijke serversystemen te verslaan en vooral voor gecentraliseerde opslagsystemen, inclusief die met Linux.

Daarom zou het niet verrassend zijn om te zien dat RansomEXX-handelaren er een bepalende trend in de industrie van hebben gemaakt; Andere ransomware-operators kunnen in de toekomst ook versies van Linux implementeren.

We hebben onlangs een nieuwe trojan voor bestandscodering ontdekt die is gemaakt als een ELF-uitvoerbaar bestand en bedoeld is om gegevens te versleutelen op machines die worden bestuurd door op Linux gebaseerde besturingssystemen.

Na de eerste analyse zagen we overeenkomsten in de code van de Trojan, de tekst van de losgeldnotities en de algemene benadering van afpersing, wat suggereert dat we inderdaad een Linux-build hadden gevonden van de eerder bekende RansomEXX-familie van ransomware. Deze malware staat erom bekend grote organisaties aan te vallen en was eerder dit jaar het meest actief.

RansomEXX is een zeer specifieke Trojan. Elk monster van de malware bevat een gecodeerde naam van de slachtofferorganisatie. Bovendien gebruiken zowel de extensie van het versleutelde bestand als het e-mailadres om contact op te nemen met de afpersers de naam van het slachtoffer.

En deze beweging lijkt al begonnen. Volgens cybersecuritybedrijf Emsisoft hebben de operators achter de Mespinoza (Pysa) ransomware onlangs naast RansomEXX ook een Linux-variant ontwikkeld vanaf hun eerste versie van Windows. Volgens Emsisoft werden de RansomEXX Linux-varianten die ze ontdekten voor het eerst geïmplementeerd in juli.

Dit is niet de eerste keer dat malware-operators hebben overwogen om een ​​Linux-versie van hun malware te ontwikkelen.

We kunnen bijvoorbeeld het geval noemen van de KillDisk-malware, die in 2015 werd gebruikt om een ​​elektriciteitsnet in Oekraïne plat te leggen.

Deze variant maakte "Linux-machines onmogelijk om op te starten, nadat de bestanden waren versleuteld en een groot losgeld geëist." Het had een versie voor Windows en een versie voor Linux, "wat zeker iets is dat we niet elke dag zien", aldus de ESET-onderzoekers.

Als u er ten slotte meer over wilt weten, kunt u de details van de Kaspersky-publicatie raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   TucuHacker.es zei
    geleden Tot 3 jaar

    Verbazingwekkend! Goed bericht! Proost

    Reageer op TucuHacker.es
    1.    LinuxHoofd zei
      geleden Tot 3 jaar

      Linux was mijn enige redding om malware te vermijden, echt jammer ...

      Reageer op LinuxMain
  2.   #MakeRansomExxGreatAgain zei
    geleden Tot 3 jaar

    HOE GROOT! WE WISTEN ALLEMAAL DAT RANSOMEXX WAS HERBOREN!

    Reageer op #MakeRansomExxGreatAgain
  3.   Julio Calisaya SI3K1 zei
    geleden Tot 2 jaar

    Uitstekende opmerking

    Reageer op Julio Calisaya SI3K1