Zaznana je bila različica RansomEXX za Linux

Raziskovalci iz Kaspersky Lab so ugotovili a Različica Linuxa dzlonamerne programske opreme "RansomEXX".

Sprva RansomEXX je bil distribuiran samo na platformi Windows in je zaslovel zaradi večjih incidentov s porazom sistemov različnih vladnih agencij in podjetij, vključno s teksaškim ministrstvom za promet in Konico Minolto.

O RansomEXX

RansomEXX šifrira podatke na disku in nato zahteva odkupnino da dobite ključ za dešifriranje. 

Šifriranje je organizirano s knjižnico mbedtls de Odprtokodno. Po zagonu zlonamerna programska oprema generira 256-bitni ključ in ga uporablja za šifriranje vseh razpoložljivih datotek z uporabo šifriranja AES v načinu ECB. 

Potem, vsako sekundo se ustvari nov ključ AES, to pomeni, da so različne datoteke šifrirane z različnimi tipkami AES.

Vsak ključ AES je šifriran z javnim ključem RSA-4096 vdelano v kodo zlonamerne programske opreme in je priložen vsaki šifrirani datoteki. Za dešifriranje ransomware ponuja nakup zasebnega ključa pri njih.

Posebnost RansomEXX To je vaš uporaba pri usmerjenih napadih, med katerim napadalci dobijo dostop do enega od sistemov v omrežju s kompromisom ranljivosti ali metod socialnega inženiringa, nato pa napadejo druge sisteme in za vsako napadeno infrastrukturo uvedejo posebno sestavljeno različico zlonamerne programske opreme, vključno z imenom podjetja in vsakega od različnih kontaktnih podatkov.

Na začetku je dr. med napadom na omrežja podjetij, napadalci poskušali so prevzeti nadzor od čim večjega števila delovnih postaj za namestitev zlonamerne programske opreme, vendar se je ta strategija izkazala za napačno in v mnogih primerih so sisteme preprosto znova namestili z varnostno kopijo, ne da bi plačali odkupnino. 

Zdaj strategija kiber kriminalcev se je spremenila y njihov cilj je bil predvsem premagati korporacijske strežniške sisteme in zlasti centraliziranim sistemom za shranjevanje, vključno s tistimi, ki poganjajo Linux.

Zato ne bi bilo presenetljivo, če bi trgovci z RansomEXX postavili odločilni trend v tej panogi; Drugi operaterji izsiljevalske programske opreme bodo v prihodnosti lahko uvedli tudi različice Linuxa.

Pred kratkim smo odkrili nov trojanski šifrirni program, ustvarjen kot izvedljiva datoteka ELF in namenjen šifriranju podatkov na strojih, ki jih nadzorujejo operacijski sistemi, ki temeljijo na Linuxu.

Po začetni analizi smo opazili podobnosti v trojanski kodi, besedilu opomin o odkupnini in splošnem pristopu k izsiljevanju, kar kaže na to, da smo v resnici našli zgradbo Linuxa iz prej znane družine ransomware RansomEXX. Znano je, da ta zlonamerna programska oprema napada velike organizacije in je bila najbolj aktivna v začetku tega leta.

RansomEXX je zelo specifičen trojanski program. Vsak vzorec zlonamerne programske opreme vsebuje kodirano ime organizacije žrtev. Poleg tega tako razširitev šifrirane datoteke kot tudi e-poštni naslov za stik z izsiljevalci uporabljata ime žrtve.

In zdi se, da se je to gibanje že začelo. Po navedbah podjetja za kibernetsko varnost Emsisoft so poleg RansomEXX operaterji, ki stojijo za odkupno programsko opremo Mespinoza (Pysa), pred kratkim razvili tudi različico Linuxa iz prvotne različice sistema Windows. Po navedbah Emsisofta so bile različice sistema RansomEXX Linux, ki so jih odkrili, prvič uvedene julija.

To ni prvič, da operaterji zlonamerne programske opreme razmišljajo o razvoju različice zlonamerne programske opreme za Linux.

Na primer lahko navedemo primer zlonamerne programske opreme KillDisk, ki je bila leta 2015 uporabljena za ohromitev električnega omrežja v Ukrajini.

Ta različica je onemogočila "zagon računalnikov Linux po šifriranju datotek in zahtevanju velike odkupnine." Imeli so različico za Windows in Linux, "kar je vsekakor nekaj, česar ne vidimo vsak dan," so opozorili raziskovalci ESET.

Na koncu, če želite izvedeti več o tem, lahko preverite podrobnosti o Kaspersky publikaciji V naslednji povezavi.