Uma versão do RansomEXX para Linux foi detectada

Darkcrizt

Minutos 4

Pesquisadores de Kaspersky Lab identificaram um Linux versão dmalware ransomware "RansomEXX".

Inicialmente, RansomEXX foi distribuído apenas na plataforma Windows e tornou-se famoso devido a vários incidentes importantes com a derrota dos sistemas de várias agências governamentais e empresas, incluindo o Departamento de Transporte do Texas e a Konica Minolta.

Sobre RansomEXX

RansomEXX criptografa dados no disco e exige resgate para obter a chave de descriptografia. 

A criptografia é organizada usando a biblioteca mbedtls de Código aberto. Depois de lançado, o malware gera uma chave de 256 bits e usa-o para criptografar todos os arquivos disponíveis usando a criptografia de bloco AES no modo ECB. 

Depois disso, uma nova chave AES é gerada a cada segundo, ou seja, arquivos diferentes são criptografados com chaves AES diferentes.

Cada chave AES é criptografada usando uma chave pública RSA-4096 embutido no código de malware e é anexado a cada arquivo criptografado. Para descriptografar, o ransomware se oferece para comprar uma chave privada deles.

Uma característica especial do RansomEXX é o uso em ataques direcionados, durante o qual os invasores obtêm acesso a um dos sistemas na rede por meio do comprometimento de vulnerabilidades ou métodos de engenharia social, após o que eles atacam outros sistemas e implantam uma variante especialmente montada de malware para cada infraestrutura atacada, incluindo o nome da empresa e cada um dos diferentes detalhes de contato.

Inicialmente durante o ataque a redes corporativas, os atacantes eles tentaram assumir o controle de tantas estações de trabalho quanto possível para instalar malware nelas, mas esta estratégia acabou por ser incorreta e, em muitos casos, os sistemas foram simplesmente reinstalados usando um backup sem pagar o resgate. 

Agora A estratégia dos cibercriminosos mudou y seu objetivo era derrotar principalmente os sistemas de servidores corporativos e especialmente para sistemas de armazenamento centralizado, incluindo aqueles que executam Linux.

Portanto, não seria surpreendente ver que os traders da RansomEXX a tornaram uma tendência definidora na indústria; Outros operadores de ransomware também podem implantar versões do Linux no futuro.

Recentemente, descobrimos um novo cavalo de Troia de criptografia de arquivo criado como um executável ELF com o objetivo de criptografar dados em máquinas controladas por sistemas operacionais baseados em Linux.

Após a análise inicial, notamos semelhanças no código do Trojan, no texto das notas de resgate e na abordagem geral da extorsão, sugerindo que realmente havíamos encontrado uma versão Linux da família de ransomware RansomEXX anteriormente conhecida. Esse malware é conhecido por atacar grandes organizações e estava mais ativo no início deste ano.

RansomEXX é um Trojan muito específico. Cada amostra do malware contém um nome codificado da organização da vítima. Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para contato com os extorsionários usam o nome da vítima.

E esse movimento parece já ter começado. De acordo com a empresa de segurança cibernética Emsisoft, além do RansomEXX, os operadores por trás do ransomware Mespinoza (Pysa) também desenvolveram recentemente uma variante do Linux de sua versão inicial do Windows. De acordo com a Emsisoft, as variantes do RansomEXX Linux que eles descobriram foram implementadas pela primeira vez em julho.

Esta não é a primeira vez que os operadores de malware consideram o desenvolvimento de uma versão Linux de seu malware.

Por exemplo, podemos citar o caso do malware KillDisk, que havia sido usado para paralisar uma rede elétrica na Ucrânia em 2015.

Esta variante tornava "as máquinas Linux impossíveis de inicializar, depois de criptografar os arquivos e exigir um grande resgate". Ele tinha uma versão para Windows e uma versão para Linux, "que definitivamente é algo que não vemos todos os dias", observaram os pesquisadores da ESET.

Finalmente, se você quiser saber mais sobre isso, você pode verificar os detalhes da publicação Kaspersky no link a seguir.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   TucuHacker.es dito
    atrás Anos 3

    Surpreendente! Bom post! Felicidades

    Responder a TucuHacker.es
    1.    Linux Principal dito
      atrás Anos 3

      Linux foi minha única salvação para evitar Malware, realmente uma pena ...

      Responder ao LinuxMain
  2.   #MakeRansomExxGreatAgain dito
    atrás Anos 3

    QUÃO GRANDE! TODOS NÓS SABEMOS QUE O RANSOMEXX IRÁ RENASCER!

    Responder a #MakeRansomExxGreatAgain
  3.   Julio Calisaya SI3K1 dito
    atrás Anos 2

    Nota excelente

    Resposta a Julio Calisaya SI3K1