Wykryto wersję RansomEXX dla systemu Linux

Badacze z Kaspersky Lab zidentyfikowali Wersja Linux dransomware „RansomEXX”.

Początkowo RansomEXX był dystrybuowany tylko na platformie Windows i zasłynął z powodu kilku poważnych incydentów z porażką systemów różnych agencji rządowych i firm, w tym Departamentu Transportu Teksasu i firmy Konica Minolta.

O RansomEXX

RansomEXX szyfruje dane na dysku, a następnie żąda okupu aby uzyskać klucz odszyfrowywania. 

Szyfrowanie jest organizowane za pomocą biblioteki mbedtls de Otwarte źródło. Po uruchomieniu szkodliwe oprogramowanie generuje 256-bitowy klucz i używa go do szyfrowania wszystkich dostępnych plików przy użyciu szyfrowania blokowego AES w trybie EBC. 

Po tym, nowy klucz AES jest generowany co sekundę, to znaczy różne pliki są szyfrowane różnymi kluczami AES.

Każdy klucz AES jest szyfrowany przy użyciu klucza publicznego RSA-4096 osadzone w kodzie złośliwego oprogramowania i jest dołączany do każdego zaszyfrowanego pliku. W celu odszyfrowania oprogramowanie ransomware oferuje zakup od nich klucza prywatnego.

Specjalna funkcja RansomEXX to wykorzystanie w atakach ukierunkowanych, podczas których atakujący uzyskują dostęp do jednego z systemów w sieci poprzez złamanie luk w zabezpieczeniach lub metody socjotechniczne, po czym atakują inne systemy i wdrażają specjalnie zmontowany wariant złośliwego oprogramowania dla każdej atakowanej infrastruktury, w tym nazwę firmy i różne dane kontaktowe.

Początkowo, podczas ataku na sieci korporacyjne, napastnicy próbowali przejąć kontrolę jak najwięcej stacji roboczych, aby zainstalować na nich złośliwe oprogramowanie, ale ta strategia okazała się błędna iw wielu przypadkach systemy były po prostu ponownie instalowane przy użyciu kopii zapasowej bez płacenia okupu. 

Teraz Zmieniła się strategia cyberprzestępców y ich celem było przede wszystkim pokonanie korporacyjnych systemów serwerowych a zwłaszcza scentralizowanych systemów pamięci masowej, w tym systemów Linux.

Dlatego nie byłoby zaskoczeniem, gdyby handlowcy RansomEXX uczynili z tego kluczowy trend w branży; Inni operatorzy ransomware również mogą w przyszłości wdrażać wersje Linuksa.

Niedawno odkryliśmy nowego trojana szyfrującego pliki, stworzonego jako plik wykonywalny ELF i przeznaczonego do szyfrowania danych na maszynach kontrolowanych przez systemy operacyjne oparte na Linuksie.

Po wstępnej analizie zauważyliśmy podobieństwa w kodzie trojana, tekście notatek dotyczących okupu i ogólnym podejściu do wymuszenia, co sugeruje, że rzeczywiście znaleźliśmy wersję Linuksa znanej wcześniej rodziny oprogramowania ransomware RansomEXX. To złośliwe oprogramowanie jest znane z atakowania dużych organizacji i było najbardziej aktywne na początku tego roku.

RansomEXX to bardzo specyficzny trojan. Każda próbka złośliwego oprogramowania zawiera zakodowaną na stałe nazwę organizacji ofiary. Ponadto zarówno rozszerzenie zaszyfrowanego pliku, jak i adres e-mail do kontaktu z szantażystami zawierają imię i nazwisko ofiary.

Wydaje się, że ten ruch już się rozpoczął. Według firmy Emsisoft zajmującej się cyberbezpieczeństwem, oprócz RansomEXX, operatorzy ransomware Mespinoza (Pysa) niedawno opracowali również wariant Linuksa, począwszy od ich pierwotnej wersji systemu Windows. Według Emsisoft odkryte warianty RansomEXX Linux zostały po raz pierwszy wdrożone w lipcu.

To nie pierwszy raz, kiedy operatorzy złośliwego oprogramowania rozważają opracowanie wersji swojego szkodliwego oprogramowania dla systemu Linux.

Na przykład możemy przytoczyć przypadek złośliwego oprogramowania KillDisk, które zostało użyte do sparaliżowania sieci energetycznej na Ukrainie w 2015 roku.

Ten wariant uniemożliwiał uruchomienie komputerów z systemem Linux po zaszyfrowaniu plików i zażądaniu dużego okupu. Miał wersję dla systemu Windows i wersję dla systemu Linux, „czego zdecydowanie nie widzimy na co dzień” - zauważyli badacze ESET.

Na koniec, jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły publikacji Kaspersky W poniższym linku.