Откривена је верзија РансомЕКСКС за Линук

Истраживачи из Касперски Лаб су идентификовали а Верзија Линук дрансомваре малваре „РансомЕКСКС“.

У почетку РансомЕКСКС дистрибуиран је само на Виндовс платформи и постао познат због неколико великих инцидената с поразом система различитих владиних агенција и компанија, укључујући тексашко Министарство саобраћаја и Коница Минолта.

О РансомЕКСКС-у

РансомЕКСКС шифрира податке на диску, а затим захтева откуп да бисте добили кључ за дешифровање. 

Шифровање је организовано помоћу библиотеке мбедтлс de Отвореног кода. Једном покренут, злонамерни софтвер генерише 256-битни кључ и користи га за шифровање свих доступних датотека користећи АЕС блок шифровање у режиму ЕЦБ. 

Након тога, сваке секунде се генерише нови АЕС кључ, односно различите датотеке су шифроване различитим АЕС кључевима.

Сваки АЕС кључ је шифрован помоћу јавног кључа РСА-4096 уграђен у код малвера и приложен је уз сваку шифровану датотеку. За дешифровање, рансомваре нуди да купе приватни кључ од њих.

Посебна карактеристика РансомЕКСКС-а То је твоје употреба у циљаним нападима, током којег нападачи добијају приступ једном од система на мрежи кроз компромитовање рањивости или метода социјалног инжењеринга, након чега нападају друге системе и примењују посебно састављену варијанту малвера за сваку нападнуту инфраструктуру, укључујући име компаније и сваки од њих различите детаље за контакт.

У почетку, током напада на корпоративне мреже, нападачи покушали су да преузму контролу што већег броја радних станица да би се на њих инсталирао злонамерни софтвер, али испоставило се да је ова стратегија нетачна и да су у многим случајевима системи једноставно поново инсталирани помоћу резервне копије без плаћања откупнине. 

Сада стратегија сајбер криминалаца се променила y њихов циљ је био првенствено пораз корпоративних серверских система а посебно централизованим системима за складиштење, укључујући оне који раде под Линуком.

Стога не би било изненађујуће када бисмо видели да су трговци РансомЕКСКС-ом учинили то дефинисањем тренда у индустрији; Други оператери рансомваре-а такође могу у будућности да примене верзије Линука.

Недавно смо открили нови тројански вирус за шифровање креиран као ЕЛФ извршна датотека и намењен шифровању података на машинама под контролом оперативних система заснованих на Линук-у.

Након почетне анализе приметили смо сличности у тројанском коду, тексту напомена о откупнини и општем приступу изнуди, што сугерише да смо у ствари пронашли Линук зграду раније познате породице РансомЕКСКС рансомваре. Познато је да овај малвер напада велике организације и био је најактивнији раније ове године.

РансомЕКСКС је врло специфичан тројански вирус. Сваки узорак малвера садржи кодирано име организације жртава. Даље, и додатак шифроване датотеке и адреса е-поште за контактирање изнуђивача користе име жртве.

И чини се да је овај покрет већ започео. Према компанији за кибербезбедност Емсисофт, поред РансомЕКСКС-а, оператери који стоје иза Меспиноза (Писа) рансомваре-а такође су недавно развили и Линук верзију од своје почетне верзије Виндовс-а. Према Емсисофту, РансомЕКСКС Линук верзије које су открили први пут су примењене у јулу.

Ово није први пут да оператери злонамерног софтвера размишљају о развоју Линук верзије свог злонамерног софтвера.

На пример, можемо навести случај злонамерног софтвера КиллДиск, који је коришћен за парализовање електричне мреже у Украјини 2015. године.

Ова варијанта је учинила „Линук машине немогућим за покретање након што су шифрирали датотеке и затражили велику откупнину“. Имали су верзију за Виндовс и Линук, „што је дефинитивно нешто што не виђамо сваки дан“, приметили су истраживачи ЕСЕТ-а.

На крају, ако желите да сазнате више о томе, можете да проверите детаље о Касперски публикацији У следећем линку.


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

4 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена.

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   ТуцуХацкер.ес дијо

    Невероватно! Добар пост! Живели

    1.    ЛинукМаин дијо

      Линук ми је био једини спас да избегнем малвер, заиста штета ...

  2.   #МакеРансомЕккГреатАгаин дијо

    КОЛИКИ! СВИ СМО ЗНАЛИ ДА СЕ РАНСОМЕКСКС ПОНОВО РОДИ!

  3.   Хулио Калисаја СИ3К1 дијо

    Одлична нота