Đã phát hiện phiên bản RansomEXX dành cho Linux

Các nhà nghiên cứu từ Kaspersky Lab đã xác định được một Phiên bản Linux Dphần mềm độc hại ransomware “RansomEXX.”

Ban đầu, RansomEXX chỉ được phân phối trên nền tảng Windows và trở nên nổi tiếng do một số sự cố lớn liên quan đến sự thất bại của hệ thống của nhiều cơ quan và công ty chính phủ khác nhau, bao gồm Bộ Giao thông Vận tải Texas và Konica Minolta.

Giới thiệu về RansomEXX

RansomEXX mã hóa dữ liệu trên đĩa và sau đó yêu cầu tiền chuộc để lấy chìa khóa giải mã. 

Việc mã hóa được tổ chức bằng thư viện mbedtls de Mã nguồn mở. Một khi đã ra mắt, phần mềm độc hại tạo khóa 256 bit và sử dụng nó để mã hóa tất cả các tệp có sẵn bằng mật mã khối AES ở chế độ ECB. 

Sau đó, Một khóa AES mới được tạo ra mỗi giây, nghĩa là, các tệp khác nhau được mã hóa bằng các khóa AES khác nhau.

Mỗi khóa AES được mã hóa bằng khóa chung RSA-4096 được nhúng trong mã phần mềm độc hại và được đính kèm vào mỗi tập tin được mã hóa. Để giải mã, ransomware đề nghị mua khóa riêng từ họ.

Điểm đặc biệt của RansomEXX Nó là của bạn sử dụng trong các cuộc tấn công có chủ đích, trong đó kẻ tấn công giành quyền truy cập vào một trong các hệ thống trên mạng thông qua thỏa hiệp lỗ hổng hoặc phương pháp kỹ thuật xã hội, sau đó chúng tấn công các hệ thống khác và triển khai một biến thể phần mềm độc hại được lắp ráp đặc biệt cho từng cơ sở hạ tầng bị tấn công, bao gồm tên của công ty và từng cơ sở hạ tầng khác nhau thông tin liên lạc.

Ban đầu, trong cuộc tấn công vào mạng công ty, những kẻ tấn công Họ đã cố gắng kiểm soát càng nhiều máy trạm càng tốt để cài đặt phần mềm độc hại trên chúng, nhưng chiến lược này hóa ra không chính xác và trong nhiều trường hợp, hệ thống chỉ được cài đặt lại bằng bản sao lưu mà không trả tiền chuộc. 

Bây giờ Chiến lược của tội phạm mạng đã thay đổi y Mục tiêu của nó chủ yếu là đánh bại các hệ thống máy chủ của công ty và đặc biệt là các hệ thống lưu trữ tập trung, bao gồm cả những hệ thống chạy Linux.

Do đó, sẽ không ngạc nhiên khi thấy các nhà khai thác RansomEXX đã biến nó thành một xu hướng xác định trong ngành; Các nhà khai thác ransomware khác cũng có thể triển khai các phiên bản Linux trong tương lai.

Gần đây, chúng tôi đã phát hiện ra một trojan mã hóa tệp mới được tạo dưới dạng tệp thực thi ELF và nhằm mục đích mã hóa dữ liệu trên các máy được điều khiển bởi hệ điều hành dựa trên Linux.

Sau phân tích ban đầu, chúng tôi nhận thấy những điểm tương đồng trong mã Trojan, nội dung của ghi chú đòi tiền chuộc và cách tiếp cận tổng thể để tống tiền, điều này cho thấy rằng chúng tôi thực sự đã tìm thấy bản dựng Linux của dòng ransomware RansomEXX đã biết trước đây. Phần mềm độc hại này nổi tiếng với việc tấn công các tổ chức lớn và hoạt động tích cực nhất vào đầu năm nay.

RansomEXX là một Trojan rất cụ thể. Mỗi mẫu phần mềm độc hại chứa một tên được mã hóa của tổ chức nạn nhân. Hơn nữa, cả phần mở rộng của tệp được mã hóa và địa chỉ email để liên hệ với những kẻ tống tiền đều sử dụng tên của nạn nhân.

Và phong trào này dường như đã bắt đầu. Theo công ty an ninh mạng Emsisoft, ngoài RansomEXX, những kẻ đứng sau ransomware Mespinoza (Pysa) gần đây cũng đã phát triển một biến thể Linux từ phiên bản Windows đầu tiên của họ. Theo Emsisoft, các biến thể RansomEXX Linux mà họ phát hiện đã được triển khai lần đầu tiên vào tháng 7.

Đây không phải là lần đầu tiên các nhà khai thác phần mềm độc hại cân nhắc việc phát triển phiên bản Linux cho phần mềm độc hại của họ.

Ví dụ: chúng ta có thể trích dẫn trường hợp phần mềm độc hại KillDisk, được sử dụng để làm tê liệt lưới điện ở Ukraine vào năm 2015.

Biến thể này khiến “máy Linux không thể khởi động được, có các tệp được mã hóa và yêu cầu một khoản tiền chuộc lớn”. Các nhà nghiên cứu của ESET lưu ý rằng nó có phiên bản Windows và phiên bản Linux, "chắc chắn là thứ chúng ta không thấy hàng ngày".

Cuối cùng, nếu bạn muốn biết thêm về nó, bạn có thể tham khảo chi tiết ấn phẩm của Kaspersky Trong liên kết sau đây.