Linux-brugere og administratorer rådes til at være på vagt, da nyheden brød af en farlig ransomware rettet mod dem. Det hedder Lucky ransomware og det er indsat i en global angreb kampagne byder typisk fil-kryptering adfærd som de mange varianter kendt til Windows. Truslen kan automatisk inficere andre værter, og dermed tage ned hele netværk på kort tid.
Lucky Ransomware fungerer som “Satan” For Windows
The Lucky ransomware er den nyeste trussel rettet mod Linux-servere, detaljer om sit udbrud blev udgivet i en bekendtgørelse af et team af forskere. Eksperterne bemærke, at det følger nøje adfærd Windows-baserede trusler af denne type. Den igangværende angreb kampagne viser, at denne succesfulde praksis er blevet fremført til Linux-systemer.
Analyse af kildekoden og måde for formering viser, at det er cross-platform, hvilket betyder, at fremtidige opdateringer til det rent faktisk kan bruges på Windows-maskiner så godt, hvis kompileret til Microsofts operativsystem. Ifølge analysen er det meget lig den Satan ransomware anvendt til at inficere Windows-maskiner.
For at inficere klientmaskinerne Lucky ransomware bruger en række sårbarheder:
- CVE-2013-4810 - Dette er en serie af exploits, der er identificeret i HP ProCurve manager (PCM) 3.20 og 4.0, PCM + 3.20 og 4.0, Identity Driven manager (IDM) 4.0, og Application Lifecycle Management gør det muligt for angribere at udføre vilkårlig kode.
- CVE-2010-0738 - Dette er en opdaget problem i JMX-Konsol webapplikation i JBossAs i Red Hat JBoss Enterprise Application Platform (alias JBoss EAP eller JBEAP) 4.2 før 4.2.0.CP09 og 4.3 før 4.3.0.CP08 som udfører adgangskontrol kun for GET og POST metoder. Denne effektivt tillader hackere at udføre angreb på afstand.
- CVE-2017-12.615 - Når du kører Apache Tomcat 7.0.0 til 7.0.79 på Windows med HTTP sætter aktiveret (f.eks. via indstilling af skrivebeskyttet initialisering parameter i Standard til false) var det muligt at uploade en JSP-fil til serveren via en særligt udformet anmodning. Denne JSP kunne derefter anmodet om, og enhver kode det indeholdt ville blive henrettet af serveren.
- En Tomcat web admin konsol login passwords brute force-angreb giver adgang til tjenesten.
- CVE-2017-10.271 - Dette er en sårbarhed i Oracle WebLogic-serveren komponent: Understøttede versioner, der er berørt, er 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 og 12.2.1.2.0. Indtrængen kan resultere i overtagelsen af serveren.
- MS17-010 - Dette er en patch, der blev frigivet til nyere versioner af Windows formildende WannaCry ransomware infektioner. Vi skrev en [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]detaljeret artikel om det.
- Apache Struts 2 Web Application Framework Udnytter - Dette er den store og [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]velkendt sikkerhedshændelse der omfattede forskellige webservere verden over. En patch blev udgivet i marts 2017 men dette ikke stoppe angrebene.
Så snart værter er blevet kompromitteret infektionen script vil implementere ransomware automatisk.
Lucky Ransomware Drift: Infektionsprocessen
Så snart ransomware modulet startes det vil begynde at kryptere brugerens datafiler. Den første aktion den gør, er at læse /tmp / Ssession fil. Den indeholder oplysninger om midlertidig aktivitet, der anvendes af forskellige server komponenter (normalt webtjenester). En almindelig praksis er at sætte en udløbsdato for dem. Når de er læst af infektionen motor det vil vise virussen de adgang data i den fastsatte periode.
De anførte systemfiler vil blive behandlet af den kryptering motor og omdøbt med .lucky udvidelse. Kildekoden Analysen viser, at en liste over undtagelser er også tilgængelig som ignorerer vigtige system placeringer. Hvis de påvirkes så systemet kan stoppe med at arbejde helt. De måldata blev identificeret til at omfatte følgende filtypenavne:
bag, zip, sql, mdf, LDF, verden, solgt, dmp, xls, doc,
txt, ppt, csv, rtf, pdf, db, VDI, VMDK, VMX, tager,
gz, PEM, pfx, cer og psf
En ransomware notat genereres i en fil kaldet _How_To_Decrypt_My_File_.txt som læser følgende meddelelse:
Jeg er ked af at fortælle dig.
Nogle filer er krypteret
hvis du vil have dine filer tilbage , sende 1 Bitcoin til min tegnebog
min tegnebog adresse: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Hvis du har spørgsmål, så kontakt os.
Email: nmare@cock.li
Et interessant træk er, at denne ransomware notat også er placeret i MOTD (budskab om dagen) der er vist for alle brugere at logge ind på Linux maskine. Når krypteringen er afsluttet, vil modulet søge efter andre værter placeret på det lokale netværk og forsøger at inficere dem.
Hvis Lucky ransomware er en succes i sin infektion taktik forventer vi, at kunne blive udviklet en Windows-baseret version af det. Som sin adfærd er baseret på Satan vi forventer, at det kan følge den samme Raas (ransomware-as-a-service) model.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: