Kaspersky-Forscher haben kürzlich neue Ransomware für Linux-Systeme entdeckt. Das Team stieß auf eine ausführbare 64-Bit-ELF-Datei, mit der Daten auf Linux-Computern verschlüsselt werden können.
Die Analyse zeigt, dass die Ransomware viele Ähnlichkeiten mit einer zuvor bekannten Familie namens RansomEXX aufweist. Diese Ähnlichkeiten bedeuten, dass die Ransomware jetzt einen Linux-Build hat. RansomEXX ist bekannt für seine gezielten Angriffe gegen große Unternehmen, Die meisten davon fanden letztes Jahr statt. Tatsächlich, Kaspersky sagt, dass "RansomEXX ein sehr zielgerichteter Trojaner ist." Zu den von RansomEXX betroffenen Unternehmen zählen das texanische Verkehrsministerium und Konica Minolta.
RansomEXX Linux Version
Sobald die Ransomware auf dem Ziel-Linux-Computer gestartet ist, Es generiert einen 256-Bit-Schlüssel, um alle Daten zu verschlüsseln, die über die AES-Blockverschlüsselung im EZB-Modus erreicht werden können. Der AES-Schlüssel wird dann mit einem öffentlichen RSA-4096-Schlüssel verschlüsselt, Das ist in seinen Körper eingebettet und an alle verschlüsselten Dateien angehängt.
In Bezug auf die Verschlüsselung, Die Ransomware generiert außerdem den AES-Schlüssel jedes Mal neu und verschlüsselt ihn neu 0.8 Sekunden. Kasperskys Analyse, jedoch, zeigt, dass sich die Tasten nur jede Sekunde unterscheiden. Trotz starker Verschlüsselungsbemühungen, Dem Linux-Build von RansomEXX fehlt die Command-and-Control-Infrastruktur, Beendigung laufender Prozesse, und Anti-Analyse. Diese Funktionen sind typisch für die meisten Ransomware-Trojaner.
Trotz der Tatsache, dass zuvor entdeckte PE-Builds von RansomEXX WinAPI verwenden (Windows-spezifische Funktionen), Die Organisation des Trojaner-Codes und die Methode zur Verwendung bestimmter Funktionen aus der mbedtls-Bibliothek deuten darauf hin, dass sowohl ELF als auch PE möglicherweise vom selben Quellcode abgeleitet sind, sagen die Forscher.
In früheren Windows-Versionen von RansomEXX wurde die Erweiterung .txd0t verwendet
Das Team bemerkte auch „Ähnlichkeiten in der Prozedur, die den Dateiinhalt verschlüsselt, und im Gesamtlayout des Codes. “ Der Lösegeldschein ist ebenfalls nahezu identisch mit der Windows-Variante.
Eine der neuesten Versionen von Windows RansomEXX hat die Erweiterung .txd0t an verschlüsselte Dateien angehängt. Die Ransomware wurde bei einem gefährlichen Angriff gegen eine große US-Firma namens Tyler Technologies eingesetzt, ein öffentlicher Softwareanbieter und Dienstleister. Die Cyberkriminellen haben die Website des Unternehmens inaktiv gemacht.
Das Sicherheitspersonal hat im September einen Eingriff in das Unternehmensnetzwerk festgestellt 23, 2020. Zum Glück, Die Hacker haben auf keine Kundendaten zugegriffen. Alle kompromittierten Informationen scheinen auf das interne Netzwerk und die Telefonsysteme des Unternehmens beschränkt zu sein.