Nove Linux verzije IceFire ransomware-a raspoređene su u februaru protiv poslovnih mreža nekoliko organizacija iz sektora medija i zabave širom svijeta.
Prema istraživačima bezbjednosti u SentinelOne-u, kampanja je iskoristila CVE-2022-47986, nedavno zakrpljenu ranjivost deserializacije u IBM Aspera Faspex softveru za razmjenu datoteka.
„Operateri IceFire malvera, koji su se ranije fokusirali samo na Windows, sada su proširili svoj fokus i na Linux“ napisao je senior istraživač pretnji SentinelOne-a Alex Delamotte.
Ovaj potez predstavlja strateški pomak, kaže istraživač bezbjednosti, koji povezuje IceFire grupu sa drugim ransomware grupama koje su također evoluirale da ciljaju Linux sisteme.
„U poređenju sa Windows-om, na Linux-u je teže primeniti ransomware, posebno u velikim razmerama“ napisao je Delamotte. „Mnogi Linux sistemi su serveri: tipični vektori infekcije poput krađe identiteta ili preuzimanja putem diska manje su efikasni. Da bi to prevazišli, hakeri se okreću iskorištavanju ranjivosti aplikacija.”
U najnovijim napadima koje je primijetio SentinelOne, nakon izvršenja, verzija IceFire Linux-a preuzela je dva odvojena payload-a koji šifruju datoteke, a zatim izbrišu maliciozni softver.
“IceFire ransomware ne šifruje sve datoteke na Linux-u: izbjegava šifrovanje određenih staza tako da kritični dijelovi sistema nisu šifrovani i ostaju operativni” objasnio je Delamotte.
“Zanimljivo je da je nekoliko klijenata za razmjenu datoteka preuzelo benigne šifrovane datoteke nakon što je IceFire šifrovao dijeljene foldere servera datoteka. Uprkos napadu na server, klijenti su i dalje mogli da preuzimaju datoteke sa šifrovanog servera.”
U vrijeme pisanja ovog teksta, IceFire je navodno uticao na žrtve u Turskoj, Iranu, Pakistanu i Ujedinjenim Arapskim Emiratima (UAE). Linux varijante koje je posmatrao SentinelOne nije detektovao nijedan od 61 VirusTotal engine-a.
„Ova evolucija za IceFire potvrđuje da ransomware ciljani na Linux nastavlja rasti u popularnosti do 2023. godine“ dodao je Delamotte. “Dok su temelji postavljeni 2021. godine, trend Linux ransomware-a se ubrzao 2022. godine kada su slavne grupe dodale Linux enkriptore u svoj arsenal, uključujući BlackBasta, Hive, Qilin, Vice Society (aka HelloKitty) i druge.”
Ransomware nije jedini oblik malicioznog softvera koji sve više cilja na Linux OS. U decembru 2022. godine Trend Micro je uočio hakere koji koriste Chaos RAT kako bi poboljšali efikasnost rudarskih napada kriptovaluta na Linux sisteme.
Izvor: Infosecurity Magazine