Gli utenti Linux e gli amministratori sono invitati a essere vigili come la notizia di un ransomware pericoloso loro mira. Si chiama il ransomware fortunato ed è distribuito in una campagna di attacco globale che caratterizza il comportamento tipico di file con crittografia come le numerose varianti conosciute per Windows. La minaccia può infettare automaticamente altri host e quindi abbattere intere reti in poco tempo.
Fortunato ransomware agisce come “Satana” Per Windows
Il ransomware fortunato è la più recente minaccia mira server Linux, dettagli sul suo scoppio è stato pubblicato in un annuncio da un team di ricercatori. Gli esperti fanno notare che segue da vicino il comportamento delle minacce basate su Windows di questo tipo. La campagna di attacco in corso dimostra che questa pratica di successo è stata effettuata nel corso di sistemi Linux.
Analisi del codice sorgente e la modalità di propagazione indica che è piattaforme, il che significa che i futuri aggiornamenti ad esso potrebbe in realtà essere utilizzati su macchine Windows e se compilato per il sistema operativo di Microsoft. Secondo l'analisi è molto simile al ransomware Satana utilizzato per infettare le macchine Windows.
Per infettare i computer di destinazione del ransomware fortunato utilizza una serie di vulnerabilità:
- CVE-2013-4810 - Si tratta di una serie di exploit che sono identificati in HP ProCurve Manager (PCM) 3.20 e 4.0, PCM + 3.20 e 4.0, Identity Driven Manager (IDM) 4.0, e Application Lifecycle Management permette agli aggressori di eseguire codice arbitrario.
- CVE-2010-0738 - Questo è un problema scoperto nell'applicazione web JMX-Console in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP o JBEAP) 4.2 prima 4.2.0.CP09 e 4.3 prima 4.3.0.CP08 che esegue il controllo di accesso solo per i metodi GET e POST. Questo permette in modo efficace agli utenti malintenzionati di effettuare attacchi a distanza.
- CVE-2.017-12.615 - Quando si esegue Apache Tomcat 7.0.0 a 7.0.79 su Windows con PUT HTTP abilitato (e.g. tramite l'impostazione del parametro di inizializzazione in sola lettura del default a false) è stato possibile caricare un file JSP al server tramite una richiesta appositamente predisposta. Questo JSP potrebbe quindi essere richiesto e qualsiasi codice esso contenga verrebbe eseguito dal server.
- Un login Tomcat console di amministrazione via web le password attacco a forza bruta che consente l'accesso al servizio.
- CVE-2.017-10.271 - Si tratta di una vulnerabilità nel componente server Oracle WebLogic: Le versioni supportate che vengono colpiti sono 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. Intrusioni possono causare il cambio di gestione del server.
- MS17-010 - Questa è una patch che è stato rilasciato per le versioni più recenti di Windows attenuanti infezioni ransomware WannaCry. Abbiamo scritto una [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]articolo dettagliato a proposito.
- Apache Struts 2 Web Application Framework Exploit - Questo è il grande e [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]incidente di sicurezza ben noto che comprendeva vari server web in tutto il mondo. Una patch è stato rilasciato nel marzo 2017 tuttavia questo non ha impedito gli attacchi.
Non appena i padroni di casa sono stati compromessi lo script infezione distribuire il ransomware automaticamente.
Fortunato Operazione ransomware: Il processo di infezione
Non appena viene avviato il modulo ransomware inizierà per crittografare i file di dati utente. La prima azione che fa è di leggere il /tmp / Ssession file. Esso contiene informazioni sulle attività temporanea utilizzata dai vari componenti del server (Di solito i servizi web). Una pratica standard è di impostare una data di scadenza per loro. Quando sono letti dal motore di infezione mostrerà il virus i dati a cui si accede nel periodo set.
I file di sistema elencati saranno trattati dal motore di crittografia e rinominato con l'estensione .lucky. L'analisi del codice sorgente indica che un elenco di eccezioni è disponibile anche che ignora importanti posizioni di sistema. Se risentono quindi il sistema può smettere di funzionare del tutto. I dati di destinazione è stato identificato per includere le seguenti estensioni di file:
dietro, chiusura, sql, mdf, LDF, mondo, venduto, dmp, xls, doc,
txt, ppt, csv, rtf, pdf, db, vdi, vmdk, vmx, prende,
gz, pem, pfx, cer e psf
Una nota ransomware è generato in un file chiamato _How_To_Decrypt_My_File_.txt che legge il seguente messaggio:
Mi dispiace dirtelo.
Alcuni file è criptato
se si desidera che i file indietro , inviare 1 bitcoin al mio portafoglio
il mio indirizzo portafoglio: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Se hai qualche domanda, Ci contatti per favore.
Email: nmare@cock.li
Una caratteristica interessante è che questa nota ransomware è anche inserito nella MOTD (messaggio del giorno) che viene mostrato a tutti gli utenti che accedono alla macchina Linux. Quando la crittografia ha completato il modulo cercherà altri host si trovano sulla rete locale e tentare di infettare i loro.
Se il ransomware fortunato è successo nella sua tattica di infezione prevediamo che potrebbe essere sviluppato una versione basata su Windows di esso. Come il suo comportamento si basa su Satana ci aspettiamo che potrebbe seguire lo stesso RaaS (ransomware-as-a-service) modello.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: