Обнаружена версия RansomEXX для Linux.

Исследователи Лаборатория Касперского определили Linux версии dпрограммы-вымогатели "RansomEXX".

Изначально RansomEXX распространялся только на платформе Windows и прославился благодаря нескольким крупным инцидентам с поражением систем различных государственных агентств и компаний, в том числе Министерства транспорта Техаса и Konica Minolta.

О RansomEXX

RansomEXX шифрует данные на диске, а затем требует выкупа чтобы получить ключ дешифрования. 

Шифрование организовано с помощью библиотеки мбедтлс de Открытый источник. После запуска вредоносная программа генерирует 256-битный ключ и использует его для шифрования всех доступных файлов с помощью блочного шифрования AES в режиме ECB. 

После этого, новый ключ AES генерируется каждую секунду, то есть разные файлы зашифрованы разными ключами AES.

Каждый ключ AES зашифрован с использованием открытого ключа RSA-4096. встроенный во вредоносный код и прикрепляется к каждому зашифрованному файлу. Для расшифровки программа-вымогатель предлагает купить у них закрытый ключ.

Особенность RansomEXX является использование в целевых атаках, во время которого злоумышленники получают доступ к одной из систем в сети посредством компрометации уязвимостей или методов социальной инженерии, после чего атакуют другие системы и развертывают специально собранный вариант вредоносного ПО для каждой атакуемой инфраструктуры, включая название компании и каждую из различных контактных данных.

на начальном этапе, во время атаки на корпоративные сети, злоумышленники они пытались взять под контроль как можно больше рабочих станций, чтобы установить на них вредоносное ПО, но эта стратегия оказалась неверной, и во многих случаях системы просто переустанавливались с использованием резервной копии без уплаты выкупа. 

Сейчас изменилась стратегия киберпреступников y их целью было в первую очередь победить корпоративные серверные системы и особенно в централизованные системы хранения, в том числе под управлением Linux.

Поэтому неудивительно, что трейдеры RansomEXX сделали его определяющим трендом в отрасли; Другие операторы программ-вымогателей также могут развернуть версии Linux в будущем.

Недавно мы обнаружили новый троян для шифрования файлов, созданный как исполняемый файл ELF и предназначенный для шифрования данных на машинах, управляемых операционными системами на базе Linux.

После первоначального анализа мы заметили сходство в коде троянца, тексте заметок о выкупе и общем подходе к вымогательству, предполагая, что мы действительно нашли сборку Linux ранее известного семейства вымогателей RansomEXX. Эта вредоносная программа, как известно, атакует крупные организации и была наиболее активна в начале этого года.

RansomEXX - очень специфический троян. Каждый образец вредоносного ПО содержит закодированное название организации-жертвы. Кроме того, как расширение зашифрованного файла, так и адрес электронной почты для связи с вымогателями используют имя жертвы.

И это движение вроде бы уже началось. По данным компании Emsisoft, занимающейся кибербезопасностью, помимо RansomEXX операторы вымогателя Mespinoza (Pysa) также недавно разработали вариант Linux на основе своей первоначальной версии Windows. Согласно Emsisoft, обнаруженные ими варианты RansomEXX Linux были впервые реализованы в июле.

Это не первый случай, когда операторы вредоносных программ рассматривают возможность разработки версии своего вредоносного ПО для Linux.

Например, можно привести случай с вредоносным ПО KillDisk, которое использовалось для парализации электросети в Украине в 2015 году.

Этот вариант делал «машины Linux невозможными для загрузки после того, как были зашифрованы файлы и потребовался большой выкуп». У него была версия для Windows и версия для Linux, «что мы определенно не видим каждый день», - отметили исследователи ESET.

Наконец, если вы хотите узнать об этом больше, вы можете проверить подробности публикации Kaspersky По следующей ссылке.