Les chercheurs de Kaspersky ont récemment découvert un nouveau ransomware ciblant les systèmes Linux. L'équipe est tombée sur un exécutable ELF 64 bits conçu pour crypter les données sur les machines exécutant Linux.
L'analyse montre que le ransomware partage de nombreuses similitudes avec une famille précédemment connue appelée RansomEXX. Ces similitudes signifient que le ransomware a maintenant une version Linux. RansomEXX est connu pour ses attaques ciblées contre les grandes entreprises, dont la plupart ont eu lieu l'année dernière. En fait, Kaspersky déclare que «RansomEXX est un cheval de Troie très ciblé». Les entreprises victimes de RansomEXX comprennent le ministère des Transports du Texas et Konica Minolta.
Version Linux de RansomEXX
Une fois le ransomware lancé sur la machine Linux ciblée, il génère une clé de 256 bits pour crypter toutes les données qu'il peut atteindre via le chiffrement par bloc AES en mode ECB. La clé AES est ensuite chiffrée par une clé publique RSA-4096, qui est intégré dans son corps et ajouté à tous les fichiers cryptés.
En termes de cryptage, le ransomware régénère et re-crypte également la clé AES chaque 0.8 secondes. Analyse de Kaspersky, cependant, montre que les touches ne diffèrent que toutes les secondes. Malgré de forts efforts de cryptage, la version Linux de RansomEXX manque d'infrastructure de commande et de contrôle, arrêt des processus en cours, et anti-analyse. Ces fonctionnalités sont typiques de la plupart des chevaux de Troie ransomware.
Malgré le fait que les versions PE précédemment découvertes de RansomEXX utilisent WinAPI (fonctions spécifiques au système d'exploitation Windows), l’organisation du code du cheval de Troie et la méthode d’utilisation des fonctions spécifiques de la bibliothèque mbedtls indiquent que ELF et PE peuvent être dérivés du même code source, les chercheurs disent.
La version Windows précédente de RansomEXX utilisait l'extension .txd0t
L'équipe a également remarqué «des ressemblances dans la procédure qui crypte le contenu du fichier, et dans la présentation générale du code. » La note de rançon est également presque identique à la variante Windows.
Une des dernières versions du RansomEXX ciblant Windows ajouté l'extension .txd0t aux fichiers chiffrés. Le ransomware a été utilisé dans une attaque dangereuse contre une grande entreprise américaine appelée Tyler Technologies, un fournisseur de logiciels et de services du secteur public. Les cybercriminels ont rendu le site Web de l'entreprise inactif.
Le personnel de sécurité a détecté une intrusion dans le réseau de l'entreprise en septembre 23, 2020. Heureusement, aucune donnée client n'a été consultée par les pirates. Toutes les informations compromises semblent être limitées au réseau interne et aux systèmes téléphoniques de l'entreprise.