I ricercatori di Kaspersky hanno recentemente scoperto un nuovo ransomware mirato ai sistemi Linux. Il team si è imbattuto in un eseguibile ELF a 64 bit progettato per crittografare i dati su macchine con sistema operativo Linux.
L'analisi mostra che il ransomware condivide molte somiglianze con una famiglia precedentemente nota chiamata RansomEXX. Queste somiglianze significano che il ransomware ora ha una build Linux. RansomEXX è noto per i suoi attacchi mirati contro le grandi aziende, la maggior parte delle quali è avvenuta lo scorso anno. Infatti, Kaspersky afferma che "RansomEXX è un Trojan altamente mirato". Le aziende vittime di RansomEXX includono il Dipartimento dei trasporti del Texas e Konica Minolta.
Versione Linux RansomEXX
Una volta avviato il ransomware sulla macchina Linux di destinazione, genera una chiave a 256 bit per crittografare tutti i dati che può raggiungere tramite il cifrario a blocchi AES in modalità ECB. La chiave AES viene quindi crittografata da una chiave pubblica RSA-4096, che è incorporato nel suo corpo e aggiunto a tutti i file crittografati.
In termini di crittografia, il ransomware rigenera e crittografa nuovamente la chiave AES ogni 0.8 secondi. L'analisi di Kaspersky, tuttavia, mostra che i tasti differiscono solo ogni secondo. Nonostante i forti sforzi di crittografia, la build Linux di RansomEXX manca di infrastruttura di comando e controllo, terminazione dei processi in esecuzione, e anti-analisi. Queste caratteristiche sono tipiche della maggior parte dei Trojan ransomware.
Nonostante il fatto che le build PE precedentemente scoperte di RansomEXX utilizzino WinAPI (funzioni specifiche del sistema operativo Windows), l'organizzazione del codice del Trojan e il metodo di utilizzo di funzioni specifiche dalla libreria mbedtls suggeriscono che sia ELF che PE possono essere derivati dallo stesso codice sorgente, i ricercatori dicono.
La precedente versione Windows di RansomEXX utilizzava l'estensione .txd0t
Il team ha anche notato “somiglianze nella procedura che crittografa il contenuto del file, e nel layout generale del codice. " Anche la richiesta di riscatto è quasi identica alla variante Windows.
Una delle ultime versioni di RansomEXX per Windows ha aggiunto l'estensione .txd0t ai file crittografati. Il ransomware è stato utilizzato in un pericoloso attacco contro una grande azienda statunitense chiamata Tyler Technologies, un fornitore di software e di servizi del settore pubblico. I cybercriminali hanno reso inattivo il sito web dell'azienda.
Il personale di sicurezza ha rilevato un'intrusione nella rete dell'azienda a settembre 23, 2020. Per fortuna, gli hacker non hanno avuto accesso ai dati dei clienti. Tutte le informazioni compromesse sembrano essere limitate alla rete interna e ai sistemi telefonici dell'azienda.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: