Виявлено версію RansomEXX для Linux

Дослідники з Лабораторія Касперського визначили a Версія Linux dшкідливе програмне забезпечення, що вимагає "RansomEXX".

Спочатку RansomEXX розповсюджувався лише на платформі Windows і прославився завдяки декільком великим інцидентам із поразкою систем різних державних установ та компаній, включаючи Техаський департамент транспорту та Konica Minolta.

Про RansomEXX

RansomEXX шифрує дані на диску, а потім вимагає викуп щоб отримати ключ розшифровки. 

Шифрування організовується за допомогою бібліотеки mbedtls de Відкрите джерело. Після запуску, шкідливе програмне забезпечення генерує 256-бітний ключ і використовує його для шифрування всіх доступних файлів за допомогою блокування шифрування AES у режимі ECB. 

Після того, новий ключ AES генерується щосекунди, тобто різні файли шифруються за допомогою різних ключів AES.

Кожен ключ AES зашифрований за допомогою відкритого ключа RSA-4096 вбудований у код шкідливого програмного забезпечення і додається до кожного зашифрованого файлу. Для дешифрування програма-вимога пропонує купити у них приватний ключ.

Особливість RansomEXX Це ваш використання в цілеспрямованих атаках, під час якого зловмисники отримують доступ до однієї з мережевих систем шляхом компрометації вразливостей або методів соціальної інженерії, після чого вони атакують інші системи та розгортають спеціально зібраний варіант шкідливого програмного забезпечення для кожної атакованої інфраструктури, включаючи ім'я компанії та кожну з різних контактних даних.

Спочатку, під час нападу на корпоративні мережі, зловмисники вони намагалися взяти під контроль з якомога більшої кількості робочих станцій для встановлення на них шкідливих програм, але ця стратегія виявилася неправильною, і в багатьох випадках системи просто перевстановлювали за допомогою резервної копії, не платячи викуп. 

Зараз стратегія кіберзлочинців змінилася y їх метою було передусім перемогти корпоративні серверні системи і особливо до централізованих систем зберігання, включаючи ті, що працюють під Linux.

Тож не дивно бачити, що трейдери RansomEXX зробили це визначальною тенденцією в галузі; Інші оператори-вимогливі програми також можуть розгортати версії Linux у майбутньому.

Нещодавно ми виявили новий троян для шифрування файлів, створений як виконуваний файл ELF і призначений для шифрування даних на машинах, керованих операційними системами на базі Linux.

Після первинного аналізу ми помітили схожість у коді троянця, тексті приміток про викуп та загальному підході до вимагання, припустивши, що ми дійсно знайшли збірку Linux раніше відомого сімейства RansomEXX з вимогами. Відомо, що це шкідливе програмне забезпечення атакує великі організації і було найактивнішим на початку цього року.

RansomEXX є дуже специфічним трояном. Кожен зразок шкідливого програмного забезпечення містить чітко закодовану назву організації-жертви. Крім того, як розширення зашифрованого файлу, так і електронна адреса для зв’язку з вимагачами використовують ім’я жертви.

І цей рух, здається, вже розпочався. За даними фірми з кібербезпеки Emsisoft, на додаток до RansomEXX, оператори, що стоять за вимогами Mespinoza (Pysa), також нещодавно розробили варіант Linux, починаючи з початкової версії Windows. За даними Emsisoft, виявлені ними варіанти RansomEXX Linux вперше були розгорнуті в липні.

Це не вперше, коли оператори шкідливих програм розглядають можливість розробки версії свого шкідливого програмного забезпечення для Linux.

Наприклад, ми можемо навести випадок шкідливого програмного забезпечення KillDisk, який був використаний для паралізації електромережі в Україні у 2015 році.

Цей варіант зробив "машини Linux неможливими для завантаження після того, як зашифрували файли та вимагали великого викупу". У ньому була версія для Windows та версія для Linux, "що, безумовно, ми не бачимо щодня", відзначили дослідники ESET.

Нарешті, якщо ви хочете дізнатись більше про це, ви можете перевірити деталі публікації Касперського У наступному посиланні.