Los investigadores de Kaspersky descubrieron recientemente un nuevo ransomware dirigido a sistemas Linux. El equipo encontró un ejecutable ELF de 64 bits diseñado para cifrar datos en máquinas con Linux..
El análisis muestra que el ransomware comparte muchas similitudes con una familia conocida anteriormente llamada RansomEXX. Estas similitudes significan que el ransomware ahora tiene una compilación de Linux. RansomEXX es conocido por sus ataques dirigidos contra grandes corporaciones, la mayoría de las cuales tuvo lugar el año pasado. De hecho, Kaspersky dice que "RansomEXX es un troyano muy específico". Las empresas víctimas de RansomEXX incluyen el Departamento de Transporte de Texas y Konica Minolta.
Versión de RansomEXX Linux
Una vez que se lanza el ransomware en la máquina Linux de destino, genera una clave de 256 bits para cifrar todos los datos a los que puede acceder mediante el cifrado de bloque AES en modo ECB. Luego, la clave AES se cifra mediante una clave pública RSA-4096, que está incrustado en su cuerpo y adjunto a todos los archivos cifrados.
En términos de cifrado, el ransomware también regenera y vuelve a cifrar la clave AES cada 0.8 segundos. Análisis de Kaspersky, sin embargo, muestra que las teclas solo difieren cada segundo. A pesar de los fuertes esfuerzos de cifrado, la versión Linux de RansomEXX carece de infraestructura de comando y control, terminación de procesos en ejecución, y anti-análisis. Estas funciones son típicas de la mayoría de los troyanos ransomware.
A pesar de que las compilaciones PE de RansomEXX previamente descubiertas usan WinAPI (funciones específicas del sistema operativo Windows), la organización del código del troyano y el método de uso de funciones específicas de la biblioteca mbedtls sugieren que tanto ELF como PE pueden derivarse del mismo código fuente, los investigadores dicen.
La versión anterior de Windows de RansomEXX usaba la extensión .txd0t
El equipo también notó “semejanzas en el procedimiento que cifra el contenido del archivo, y en el diseño general del código ". La nota de rescate también es casi idéntica a la variante de Windows.
Una de las últimas versiones de RansomEXX para Windows agregó la extensión .txd0t a los archivos cifrados. El ransomware se utilizó en un peligroso ataque contra una gran empresa estadounidense llamada Tyler Technologies., un proveedor de servicios y software del sector público. Los ciberdelincuentes dejaron inactivo el sitio web de la empresa.
El personal de seguridad detectó una intrusión en la red de la empresa en septiembre 23, 2020. Afortunadamente, los piratas informáticos no han accedido a los datos del cliente. Toda la información comprometida parece estar limitada a la red interna y los sistemas telefónicos de la empresa..