Kasperskyの研究者は最近、Linuxシステムを標的とする新しいランサムウェアを発見しました. チームは、Linuxを実行しているマシン上のデータを暗号化するように設計された64ビットのELF実行可能ファイルに出くわしました。.
分析によると、ランサムウェアは、RansomEXXと呼ばれる以前から知られているファミリと多くの類似点を共有しています。. これらの類似点は、ランサムウェアがLinuxビルドになったことを意味します. RansomEXXは、大企業に対する標的型攻撃で知られています, そのほとんどは昨年行われました. 実際には, Kasperskyは、「RansomEXXは非常に標的を絞ったトロイの木馬です」と述べています。 RansomEXXの被害を受けた企業には、テキサス運輸省とコニカミノルタが含まれます.
RansomEXXLinuxバージョン
ランサムウェアがターゲットのLinuxマシンで起動されたら, ECBモードでAESブロック暗号を介して到達できるすべてのデータを暗号化するための256ビットキーを生成します. 次に、AESキーはRSA-4096公開キーによって暗号化されます, これは本体に埋め込まれ、すべての暗号化されたファイルに追加されます.
暗号化に関して, ランサムウェアはまた、AESキーを毎回再生成および再暗号化します 0.8 秒. カスペルスキーの分析, でも, キーが毎秒異なるだけであることを示しています. 強力な暗号化の取り組みにもかかわらず, RansomEXXのLinuxビルドには、コマンドアンドコントロールインフラストラクチャがありません, 実行中のプロセスの終了, と反分析. これらの機能は、ほとんどのランサムウェア型トロイの木馬に典型的なものです。.
以前に発見されたRansomEXXのPEビルドがWinAPIを使用しているという事実にもかかわらず (WindowsOSに固有の機能), トロイの木馬のコードの構成とmbedtlsライブラリの特定の関数の使用方法は、ELFとPEの両方が同じソースコードから派生している可能性があることを示唆しています。, 研究者は言う.
以前のWindowsバージョンのRansomEXXは、.txd0t拡張子を使用していました
チームはまた、「ファイルの内容を暗号化する手順の類似点」にも気づきました。, そして、コードの全体的なレイアウトで。」身代金のメモもWindowsの亜種とほぼ同じです.
WindowsをターゲットとするRansomEXXの最新バージョンの1つ 暗号化されたファイルに.txd0t拡張子を追加. ランサムウェアは、TylerTechnologiesと呼ばれる米国の大企業に対する危険な攻撃に使用されました。, 公共部門のソフトウェアプロバイダーおよびサービスプロバイダー. サイバー犯罪者は会社のウェブサイトを非アクティブにしました.
セキュリティスタッフは、9月に会社のネットワークへの侵入を検出しました 23, 2020. 幸運, ハッカーは顧客データにアクセスしませんでした. 侵害された情報はすべて、会社の内部ネットワークと電話システムに限定されているようです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: