Bola zistená verzia RansomEXX pre Linux

Vedci z Kaspersky Lab identifikovali a Linux verzia dransomvérový malware „RansomEXX“.

Spočiatku RansomEXX bol distribuovaný iba na platforme Windows a stal sa známym vďaka niekoľkým veľkým incidentom s porážkou systémov rôznych vládnych agentúr a spoločností, vrátane ministerstva dopravy v Texase a spoločnosti Konica Minolta.

O spoločnosti RansomEXX

RansomEXX šifruje údaje na disku a potom vyžaduje výkupné získať dešifrovací kľúč. 

Šifrovanie je organizované pomocou knižnice mbedtls de Open Source. Po spustení škodlivý softvér generuje 256-bitový kľúč a používa ho na šifrovanie všetkých dostupných súborov pomocou šifrovania bloku AES v režime ECB. 

Potom, nový kľúč AES sa generuje každú sekundu, to znamená, že rôzne súbory sú šifrované rôznymi kľúčmi AES.

Každý kľúč AES je šifrovaný pomocou verejného kľúča RSA-4096 vložené do kódu škodlivého softvéru a je pripojený ku každému šifrovanému súboru. Na účely dešifrovania ransomvér ponúka, že si od nich kúpi súkromný kľúč.

Špeciálna vlastnosť RansomEXX Je to tvoja použitie pri cielených útokoch, počas ktorej útočníci získajú prístup k jednému zo systémov v sieti kompromitovaním zraniteľností alebo metód sociálneho inžinierstva, potom zaútočia na iné systémy a nasadia špeciálne zostavený variant škodlivého softvéru pre každú napadnutú infraštruktúru vrátane názvu spoločnosti a každého rôzne kontaktné údaje.

spočiatku, počas útoku na podnikové siete, útočníci pokúsili sa prevziať kontrolu čo najviac pracovných staníc, aby na ne nainštalovali malvér, ale táto stratégia sa ukázala ako nesprávna a v mnohých prípadoch sa systémy jednoducho preinštalovali pomocou zálohy bez zaplatenia výkupného. 

Teraz Stratégia kybernetických zločincov sa zmenila y ich cieľom bolo primárne poraziť podnikové serverové systémy a najmä na centralizované úložné systémy vrátane tých, na ktorých beží Linux.

Takže by nebolo prekvapujúce vidieť, že obchodníci RansomEXX z toho urobili určujúci trend v priemysle; V budúcnosti môžu verzie Linuxu nasadiť aj ďalší operátori ransomvéru.

Nedávno sme objavili nový trójsky kôň na šifrovanie súborov vytvorený ako spustiteľný súbor ELF a určený na šifrovanie údajov na strojoch ovládaných operačnými systémami založenými na systéme Linux.

Po počiatočnej analýze sme si všimli podobnosti v kóde trójskeho koňa, textu poznámok o výkupnom a celkovom prístupe k vydieraniu, čo naznačuje, že sme skutočne našli zostavenie Linuxu zo skôr známej rodiny ransomware RansomEXX. Je známe, že tento malware útočí na veľké organizácie a bol najaktívnejší začiatkom tohto roka.

RansomEXX je veľmi špecifický trójsky kôň. Každá vzorka škodlivého softvéru obsahuje zakódovaný názov organizácie obete. Okrem toho prípona šifrovaného súboru a e-mailová adresa na kontaktovanie vydieračov používajú meno obete.

A zdá sa, že toto hnutie už začalo. Podľa kybernetickej bezpečnostnej firmy Emsisoft vyvinuli okrem RansomEXX aj operátori ransomvéru Mespinoza (Pysa) v poslednej dobe aj variant Linux pre svoju pôvodnú verziu Windows. Podľa Emsisoftu boli varianty RansomEXX Linux, ktoré objavili, prvýkrát implementované v júli.

Nie je to prvýkrát, čo operátori malvéru uvažujú o vývoji verzie svojho malvéru pre systém Linux.

Môžeme napríklad uviesť prípad malvéru KillDisk, ktorý sa v roku 2015 použil na paralyzovanie elektrickej siete na Ukrajine.

Tento variant znemožňoval zavedenie „strojov Linux“ po zašifrovaní súborov a požadovaní veľkého výkupného. “ Mal verziu pre Windows a Linux, „čo je určite niečo, čo nevidíme každý deň,“ poznamenali vedci z ESETu.

Na záver, ak sa o ňom chcete dozvedieť viac, môžete skontrolovať podrobnosti publikácie Kaspersky Na nasledujúcom odkaze.