Huis > Cyber ​​Nieuws > Krachtige Lucky Ransomware treft Linux-servers in een wereldwijde aanval
CYBER NEWS

Krachtige Lucky Ransomware Hits Linux-servers in een Global Attack

Linux-gebruikers en beheerders worden geadviseerd waakzaam te zijn als nieuws brak van een gevaarlijke ransomware gericht op hen. Het heet de Lucky ransomware en het wordt ingezet in een wereldwijde aanval campagne met typische-bestand versleutelen gedrag als de vele varianten bekend voor Windows. De dreiging kan automatisch infecteren andere hosts en dus take down hele netwerken in een korte tijd.




Lucky Ransomware werkt als “Satan” Voor Windows

The Lucky ransomware is de nieuwste dreiging targeting Linux servers, details over de uitbraak werd gepost in een Aankondiging door een team van onderzoekers. De deskundigen rekening mee dat het nauw aansluit bij het gedrag van Windows-gebaseerde bedreigingen van dit type. De lopende aanval campagne laat zien dat dit een succesvolle praktijk over naar Linux-systemen is uitgevoerd.

Analyse van de broncode en de wijze van voortplanting blijkt dat het platformonafhankelijke, wat betekent dat toekomstige updates voor het daadwerkelijk kan worden gebruikt op Windows-machines, alsmede indien samengesteld voor het besturingssysteem van Microsoft. Volgens de analyse is zeer vergelijkbaar met de Satan ransomware gebruikt om Windows-machines te infecteren.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/satan-ransomware-remove-restore-files/”]Satan Ransomware - verwijderen en herstellen van uw bestanden

Om het doel machines te infecteren de Lucky ransomware maakt gebruik van een reeks van kwetsbaarheden:

  • CVE-2013-4810 - Dit is een reeks van exploits die zijn geïdentificeerd in HP ProCurve Manager (PCM) 3.20 en 4.0, PCM + 3.20 en 4.0, Identity Driven Manager (IDM) 4.0, en Application Lifecycle Management waardoor aanvallers willekeurige code.
  • CVE-2010-0738 - Dit is een ontdekt kwestie in de JMX-Console webapplicatie in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP of JBEAP) 4.2 vóór 4.2.0.CP09 en 4.3 voordat 4.3.0.CP08 die toegangscontrole werkt alleen voor GET en POST methoden. Dit maakt het mogelijk effectief kwaadwillende gebruikers om aanvallen op afstand uitvoeren.
  • CVE-2017-12.615 - Bij het uitvoeren van Apache Tomcat 7.0.0 aan 7.0.79 op Windows met HTTP zet ingeschakeld (b.v.. via het instellen van de alleen-lezen initialisatie parameter van de standaard op false) was het mogelijk om een ​​JSP-bestand uploaden naar de server via een speciaal vervaardigde aanvraag. Deze JSP zou dan kunnen worden aangevraagd en eventuele code in dit zou worden uitgevoerd door de server.
  • Een Tomcat web beheerconsole wachtwoorden brute force verlenen van toegang tot de dienst.
  • CVE-2017-10.271 - Dit is een kwetsbaarheid in de Oracle WebLogic server component: Ondersteunde versies die worden beïnvloed zijn 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 en 12.2.1.2.0. Inbraken kan resulteren in de overname van de server.
  • MS17-010 - Dit is een patch die werd uitgebracht voor nieuwere versies van Windows verzachtende WannaCry ransomware infecties. We schreven een [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]uitvoerig artikel over het.
  • Apache Struts 2 Web Application Framework Exploits - Dit is de grote en [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]bekende beveiligingsincident dat omvatte verschillende webservers wereldwijd. Een patch werd uitgebracht in maart 2017 maar dit niet stoppen met de aanslagen.

Zodra de gastheren zijn gecompromitteerd zal de infectie script de ransomware automatisch implementeren.

Geluk Ransomware Operation: Het infectieproces

Zodra de ransomware module wordt gestart het zal beginnen om gebruikersgegevens bestanden te versleutelen. De eerste actie het doet is om het te lezen /tmp / Ssession bestand. Het bevat informatie over tijdelijke activiteit gebruikt door diverse servercomponenten (meestal web services). Een standaard praktijk is om een ​​vervaldatum die voor hen. Wanneer ze worden gelezen door de infectie motor zal het virus tonen de toegang tot gegevens in de ingestelde periode.

De vermelde systeembestanden worden verwerkt door de encryptie-engine en hernoemd met de .lucky extensie. De broncode analyse blijkt dat er een lijst met uitzonderingen is ook beschikbaar, die belangrijke systeembestanden locaties negeert. Als ze worden getroffen dan het systeem kan stoppen met werken. De beoogde data werd geïdentificeerd aan de volgende bestandsextensies omvatten:

achter, ritssluiting, sql, mdf, ldf, wereld, uitverkocht, DMP, xls, doc,
txt, ppt, csv, rtf, pdf, db, VDI, VMDK, VMX, neemt,
gz, pem, pfx, cer en PSF

Een ransomware noot wordt opgewekt in een bestand met de naam _How_To_Decrypt_My_File_.txt dat leest het volgende bericht:

Het spijt me om u te vertellen.
Sommige bestanden heeft versleuteld
Als u wilt dat uw bestanden terug , sturen 1 Bitcoin naar mijn portemonnee
mijn portemonnee adres: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Als je vragen hebt, Gelieve ons te contacteren.
Email: nmare@cock.li

Een interessant kenmerk is dat dit ransomware nota ook wordt geplaatst in de MOTD (bericht van de dag) waarvan is aangetoond dat alle gebruikers inloggen op de Linux computer. Wanneer de versleuteling is voltooid zal de module te zoeken naar andere hosts op het lokale netwerk en proberen ze te infecteren.

Als de Lucky ransomware succesvol in zijn infectie tactiek is verwachten we dat een Windows-gebaseerde versie van haar kan worden ontwikkeld. Als zijn gedrag is gebaseerd op Satan verwachten we dat het dezelfde RAAS zou volgen (ransomware-as-a-service) model-.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens