Nakita ang isang bersyon ng RansomEXX para sa Linux

Darkcrizt

4 Minutos

Ang mga mananaliksik mula sa Kaspersky Lab nakilala ang a Bersyon ng Linux dransomware malware "RansomEXX".

Sa una, ang RansomEXX naipamahagi lamang sa platform ng Windows at sumikat dahil sa maraming pangunahing insidente sa pagkatalo ng mga sistema ng iba`t ibang mga ahensya at kumpanya ng gobyerno, kasama na ang Kagawaran ng Transportasyon ng Texas at Konica Minolta.

Tungkol sa RansomEXX

Ang RansomEXX naka-encrypt ng data sa disk at pagkatapos ay nangangailangan ng ransom upang makuha ang decryption key. 

Isinaayos ang pag-encrypt gamit ang library mbedtls de Open Source. Kapag inilunsad, ang malware ay bumubuo ng isang 256-bit key at ginagamit ito upang i-encrypt ang lahat ng mga magagamit na file gamit ang AES block encryption sa ECB mode. 

Pagkatapos, isang bagong key ng AES ay nabubuo bawat segundo, iyon ay, iba't ibang mga file ay naka-encrypt na may iba't ibang mga key ng AES.

Ang bawat key ng AES ay naka-encrypt gamit ang isang pampublikong key ng RSA-4096 naka-embed sa malware code at nakakabit sa bawat naka-encrypt na file. Para sa decryption, nag-aalok ang ransomware na bumili ng isang pribadong key mula sa kanila.

Isang espesyal na tampok ng RansomEXX Ito ay ang iyong gamitin sa naka-target na pag-atake, kung saan ang mga umaatake ay nakakakuha ng pag-access sa isa sa mga system sa network sa pamamagitan ng pag-kompromiso sa mga kahinaan o pamamaraan ng social engineering, na pagkatapos ay inaatake nila ang iba pang mga system at naglalagay ng isang espesyal na binuo na variant ng malware para sa bawat inatake na imprastraktura, kabilang ang pangalan ng kumpanya at bawat isa sa iba't ibang mga detalye sa pakikipag-ugnay.

Sa una, sa panahon ng pag-atake sa mga corporate network, ang mga umaatake sinubukan nilang makontrol maraming mga workstation hangga't maaari upang mai-install ang malware sa kanila, ngunit ang diskarte na ito ay naging mali at sa maraming mga kaso ang mga system ay na-install muli gamit ang isang backup nang hindi binabayaran ang ransom. 

Ngayon nagbago ang diskarte ng cybercriminals y ang kanilang hangarin ay pangunahing talunin ang mga system ng server server at lalo na sa mga sentralisadong sistema ng imbakan, kabilang ang mga nagpapatakbo ng Linux.

Kaya't hindi nakakagulat na makita na ang mga negosyante ng RansomEXX ay ginawang isang pagtukoy sa trend sa industriya; Ang iba pang mga operator ng ransomware ay maaari ring mag-deploy ng mga bersyon ng Linux sa hinaharap.

Kamakailan lamang natuklasan namin ang isang bagong Trojan ng pag-encrypt ng file na nilikha bilang isang maipapatupad na ELF at inilaan upang i-encrypt ang data sa mga makina na kinokontrol ng mga operating system na batay sa Linux.

Matapos ang paunang pag-aaral, napansin namin ang pagkakatulad sa code ng Trojan, ang teksto ng mga tala ng ransom, at ang pangkalahatang diskarte sa pangingikil, na nagpapahiwatig na sa katunayan ay nakakita kami ng isang Linux build ng dating kilalang RansomEXX na pamilya ng ransomware. Ang malware na ito ay kilala na umaatake sa malalaking mga organisasyon at pinaka-aktibo sa mas maaga sa taong ito.

Ang RansomEXX ay isang napaka tukoy na Trojan. Ang bawat sample ng malware ay naglalaman ng naka-encode na pangalan ng samahang biktima. Bukod dito, kapwa ang extension ng naka-encrypt na file at ang email address upang makipag-ugnay sa mga extortionist na gumagamit ng pangalan ng biktima.

At ang kilusang ito ay tila nagsimula na. Ayon sa firm ng cybersecurity Emsisoft, bilang karagdagan sa RansomEXX, ang mga operator sa likod ng Mespinoza (Pysa) ransomware ay nakabuo din ng isang variant ng Linux mula sa kanilang paunang bersyon ng Windows. Ayon sa Emsisoft, ang mga variant ng RansomEXX Linux na kanilang natuklasan ay unang ipinatupad noong Hulyo.

Hindi ito ang unang pagkakataon na isinasaalang-alang ng mga operator ng malware ang pagbuo ng isang bersyon ng Linux ng kanilang malware.

Halimbawa, maaari nating banggitin ang kaso ng KillDisk malware, na ginamit upang maparalisa ang isang grid ng kuryente sa Ukraine noong 2015.

Ginawa ng variant na ito na "imposibleng mag-boot ang mga Linux machine, pagkatapos na naka-encrypt ang mga file at humiling ng isang malaking pantubos." Ito ay may isang bersyon ng Windows at isang bersyon ng Linux, "na tiyak na isang bagay na hindi namin nakikita araw-araw," nabanggit ng mga mananaliksik ng ESET.

Panghuli, kung nais mong malaman ang tungkol dito, maaari mong suriin ang mga detalye ng publication ng Kaspersky Sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   TucuHacker.es dijo
    nakararaan 3 taon

    Kamangha-mangha! Magandang post! Cheers

    Tumugon sa TucuHacker.es
    1.    LinuxMain dijo
      nakararaan 3 taon

      Ang Linux lamang ang aking kaligtasan upang maiwasan ang Malware, talagang isang kahihiyan ...

      Tumugon sa LinuxMain
  2.   #MakeRansomExxGreatAgain dijo
    nakararaan 3 taon

    GAANO KALAKI! ALAM NAMING LAHAT NG RANSOMEXX AY MAGSISESERBI!

    Tumugon sa #MakeRansomExxGreatAgain
  3.   Julio Calisaya SI3K1 dijo
    nakararaan 2 taon

    Napakahusay na tala

    Sagot kay Julio Calisaya SI3K1