Linux için RansomEXX'in bir sürümü tespit edildi

Araştırmacılar Kaspersky Lab bir tanımladım Linux sürümü dfidye yazılımı kötü amaçlı yazılım “RansomEXX.”

Başlangıçta RansomEXX yalnızca Windows platformunda dağıtıldı Teksas Ulaştırma Bakanlığı ve Konica Minolta da dahil olmak üzere çeşitli devlet kurumlarının ve şirketlerin sistemlerinin yenilgisiyle sonuçlanan birçok büyük olay nedeniyle ünlendi.

RansomEXX Hakkında

RansomEXX diskteki verileri şifreliyor ve ardından fidye talep ediyor Şifre çözme anahtarını almak için. 

Şifreleme kütüphane kullanılarak düzenlenir mbedtls de Açık kaynak. Bir kez başlatıldığında, Kötü amaçlı yazılım 256 bitlik bir anahtar oluşturur ve ECB modunda AES blok şifresini kullanarak mevcut tüm dosyaları şifrelemek için kullanır. 

Daha sonra, Her saniye yeni bir AES anahtarı üretiliyor. yani farklı dosyalar farklı AES anahtarlarıyla şifrelenir.

Her AES anahtarı bir RSA-4096 genel anahtarı kullanılarak şifrelenir kötü amaçlı yazılım koduna gömülü ve her şifrelenmiş dosyaya eklenir. Şifre çözme için fidye yazılımı onlardan özel bir anahtar satın almayı teklif ediyor.

RansomEXX'in özel bir özelliği Bu senin Hedefli saldırılarda kullanmak, Saldırganların, güvenlik açığını aşma veya sosyal mühendislik yöntemleri yoluyla ağdaki sistemlerden birine erişim elde ettiği, ardından diğer sistemlere saldırdığı ve şirketin adı ve farklı yazılımların her biri dahil olmak üzere, saldırıya uğrayan her altyapı için özel olarak bir araya getirilmiş bir kötü amaçlı yazılım çeşidini dağıttığı süreç. iletişim bilgileri.

Başlangıçta, kurumsal ağlara yapılan saldırı sırasında, saldırganlar Kontrolü ele geçirmeye çalıştılar Mümkün olduğu kadar çok iş istasyonuna kötü amaçlı yazılım yüklemeye çalıştılar, ancak bu stratejinin yanlış olduğu ortaya çıktı ve çoğu durumda sistemler, fidye ödemeden bir yedekleme kullanılarak yeniden kuruldu. 

Şimdi Siber suçluların stratejisi değişti y Amacı öncelikle kurumsal sunucu sistemlerini yenmekti ve özellikle Linux çalıştıranlar da dahil olmak üzere merkezi depolama sistemlerine.

Bu nedenle RansomEXX operatörlerinin bunu sektörde belirleyici bir trend haline getirdiğini görmek şaşırtıcı olmayacaktır; Diğer fidye yazılımı operatörleri de gelecekte Linux sürümlerini dağıtabilir.

Yakın zamanda, ELF yürütülebilir dosyası olarak oluşturulan ve Linux tabanlı işletim sistemleri tarafından kontrol edilen makinelerdeki verileri şifrelemeyi amaçlayan yeni bir dosya şifreleme truva atı keşfettik.

İlk analizden sonra, Truva atının kodunda, fidye notlarının metninde ve şantaj konusundaki genel yaklaşımda benzerlikler fark ettik; bu da aslında önceden bilinen RansomEXX fidye yazılımı ailesinin bir Linux yapısını bulduğumuzu gösteriyordu. Bu kötü amaçlı yazılımın büyük kuruluşlara saldırmasıyla biliniyor ve en çok bu yılın başlarında aktifti.

RansomEXX çok özel bir Truva atıdır. Kötü amaçlı yazılımın her örneği, kurban kuruluşun kodlanmış bir adını içerir. Ayrıca, hem şifrelenmiş dosyanın uzantısı hem de gaspçılarla iletişim kurmak için e-posta adresi kurbanın adını kullanır.

Ve bu hareket çoktan başlamış gibi görünüyor. Siber güvenlik firması Emsisoft'a göre, Mespinoza (Pysa) fidye yazılımının arkasındaki operatörler, RansomEXX'e ek olarak yakın zamanda Windows'un ilk sürümünden bir Linux varyantı da geliştirdiler. Emsisoft'a göre, keşfettikleri RansomEXX Linux çeşitleri ilk olarak Temmuz ayında devreye alındı.

Bu, kötü amaçlı yazılım operatörlerinin kötü amaçlı yazılımlarının Linux sürümünü geliştirmeyi ilk kez düşünmeleri değil.

Örneğin, 2015 yılında Ukrayna'da bir elektrik şebekesini felç etmek için kullanılan KillDisk kötü amaçlı yazılım vakasını örnek verebiliriz.

Bu varyant, "Linux makinelerini yeniden başlatılamaz hale getirdi, şifrelenmiş dosyalara sahipti ve büyük bir fidye talep etti." ESET araştırmacıları, bunun bir Windows sürümü ve bir de Linux sürümü olduğunu belirtti; "ki bu kesinlikle her gün göremediğimiz bir şey."

Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız Kaspersky yayınının ayrıntılarına başvurabilirsiniz. Aşağıdaki bağlantıda.