Kaspersky-forskere opdagede for nylig ny ransomware målrettet mod Linux-systemer. Holdet stødte på en 64-bit ELF-eksekverbar designet til at kryptere data på Linux-kørende maskiner.
Analysen viser, at ransomware deler mange ligheder med en tidligere kendt familie kaldet RansomEXX. Disse ligheder betyder, at ransomware nu har en Linux-build. RansomEXX er kendt for sine målrettede angreb mod store virksomheder, hvoraf de fleste fandt sted sidste år. Faktisk, Kaspersky siger, at "RansomEXX er en meget målrettet trojan." Virksomheder, der er ofre for RansomEXX, inkluderer Texas Department of Transportation og Konica Minolta.
RansomEXX Linux-version
Når ransomware er lanceret på den målrettede Linux-maskine, det genererer en 256-bit nøgle til at kryptere alle data, den kan nå via AES-blokciffer i ECB-tilstand. AES-nøglen krypteres derefter af en offentlig RSA-4096-nøgle, som er indlejret i sin krop og føjes til alle krypterede filer.
I form af kryptering, ransomware regenererer og krypterer også AES-nøglen hver gang 0.8 sekunder. Kasperskys analyse, dog, viser, at tasterne kun adskiller sig hvert sekund. På trods af stærk krypteringsindsats, Linux-build af RansomEXX mangler kommando-og-kontrol-infrastruktur, afslutning af kørende processer, og anti-analyse. Disse funktioner er typiske for de fleste ransomware-trojanske heste.
På trods af at tidligere opdagede PE-builds af RansomEXX bruger WinAPI (funktioner, der er specifikke for Windows OS), organisering af Trojans kode og metoden til brug af specifikke funktioner fra mbedtls-biblioteket antyder, at både ELF og PE kan stamme fra den samme kildekode, siger forskerne.
Den tidligere Windows-version af RansomEXX brugte udvidelsen .txd0t
Holdet bemærkede også ”ligheder i proceduren, der krypterer filindholdet, og i det overordnede layout af koden. ” Løsepenge noten er også næsten identisk med Windows-varianten.
En af de nyeste versioner af Windows-målrettet RansomEXX tilføjede .txd0t-udvidelsen til krypterede filer. Ransomware blev brugt i et farligt angreb mod et stort amerikansk firma ved navn Tyler Technologies, en offentlig softwareudbyder og tjenesteudbyder. Cyberkriminelle gjorde virksomhedens websted inaktivt.
Sikkerhedspersonalet opdagede et indbrud i virksomhedens netværk i september 23, 2020. Heldigvis, ingen kundedata blev åbnet af hackerne. Al kompromitteret information ser ud til at være begrænset til virksomhedens interne netværk og telefonsystemer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: