A fost detectată o versiune a RansomEXX pentru Linux

Cercetătorii din Kaspersky Lab au identificat a versiunea Linux dmalware ransomware „RansomEXX.”

Inițial, RansomEXX a fost distribuit doar pe platforma Windows și a devenit faimos datorită mai multor incidente majore cu înfrângerea sistemelor diferitelor agenții și companii guvernamentale, inclusiv Departamentul de Transport din Texas și Konica Minolta.

Despre RansomEXX

RansomEXX criptează datele de pe disc și apoi solicită o răscumpărare pentru a obține cheia de decriptare. 

Criptarea este organizată folosind biblioteca mbedtls de Sursa deschisa. Odată lansat, malware generează o cheie pe 256 de biți și îl folosește pentru a cripta toate fișierele disponibile folosind cifrul bloc AES în modul ECB. 

Dupa aceea, O nouă cheie AES este generată în fiecare secundă, adică diferite fișiere sunt criptate cu chei AES diferite.

Fiecare cheie AES este criptată folosind o cheie publică RSA-4096 încorporat în codul malware și este atașat fiecărui fișier criptat. Pentru decriptare, ransomware-ul oferă să cumpere o cheie privată de la ei.

O caracteristică specială a lui RansomEXX este utilizarea în atacuri direcționate, timp în care atacatorii obțin acces la unul dintre sistemele din rețea prin compromiterea vulnerabilității sau metode de inginerie socială, după care atacă alte sisteme și implementează o variantă de malware special asamblată pentru fiecare infrastructură atacată, inclusiv numele companiei și fiecare dintre diferitele informații de contact.

inițial, în timpul atacului asupra rețelelor corporative, atacatorii Au încercat să preia controlul cât mai multe stații de lucru pentru a instala malware pe ele, dar această strategie s-a dovedit a fi incorectă și în multe cazuri sistemele au fost pur și simplu reinstalate folosind o copie de rezervă fără a plăti răscumpărarea. 

Acum Strategia infractorilor cibernetici s-a schimbat y Scopul său a fost să învingă în primul rând sistemele de servere corporative și în special la sistemele de stocare centralizate, inclusiv cele care rulează Linux.

Prin urmare, nu ar fi surprinzător să vedem că operatorii RansomEXX au făcut din aceasta o tendință definitorie în industrie; Alți operatori de ransomware pot implementa, de asemenea, versiuni Linux în viitor.

Recent, am descoperit un nou troian de criptare a fișierelor creat ca un executabil ELF și destinat să cripteze datele de pe mașinile controlate de sistemele de operare bazate pe Linux.

După analiza inițială, am observat asemănări în codul troianului, textul notelor de răscumpărare și abordarea generală a extorcării, ceea ce sugerează că într-adevăr am găsit o versiune Linux a familiei de ransomware cunoscută anterior RansomEXX. Acest malware este cunoscut pentru că atacă organizațiile mari și a fost cel mai activ la începutul acestui an.

RansomEXX este un troian foarte specific. Fiecare eșantion de malware conține un nume codificat al organizației victimei. Mai mult, atât extensia fișierului criptat, cât și adresa de e-mail pentru a contacta extorsioniștii folosesc numele victimei.

Și această mișcare pare să fi început deja. Potrivit companiei de securitate cibernetică Emsisoft, pe lângă RansomEXX, operatorii din spatele ransomware-ului Mespinoza (Pysa) au dezvoltat recent și o variantă Linux din versiunea lor inițială de Windows. Potrivit Emsisoft, variantele RansomEXX Linux pe care le-au descoperit au fost implementate pentru prima dată în iulie.

Nu este prima dată când operatorii de programe malware se gândesc să dezvolte o versiune Linux a programelor lor malware.

De exemplu, putem cita cazul malware-ului KillDisk, care a fost folosit pentru a paraliza o rețea electrică din Ucraina în 2015.

Această variantă a făcut ca „mașinile Linux să nu fie pornite, având fișiere criptate și au cerut o răscumpărare mare”. Avea o versiune Windows și o versiune Linux, „ceea ce cu siguranță nu vedem în fiecare zi”, au observat cercetătorii ESET.

În sfârșit, dacă doriți să aflați mai multe despre acesta, puteți consulta detaliile publicației Kaspersky În următorul link.