Linux-gebruikers en beheerders worden geadviseerd waakzaam te zijn als nieuws brak van een gevaarlijke ransomware gericht op hen. Het heet de Lucky ransomware en het wordt ingezet in een wereldwijde aanval campagne met typische-bestand versleutelen gedrag als de vele varianten bekend voor Windows. De dreiging kan automatisch infecteren andere hosts en dus take down hele netwerken in een korte tijd.
Lucky Ransomware werkt als “Satan” Voor Windows
The Lucky ransomware is de nieuwste dreiging targeting Linux servers, details over de uitbraak werd gepost in een Aankondiging door een team van onderzoekers. De deskundigen rekening mee dat het nauw aansluit bij het gedrag van Windows-gebaseerde bedreigingen van dit type. De lopende aanval campagne laat zien dat dit een succesvolle praktijk over naar Linux-systemen is uitgevoerd.
Analyse van de broncode en de wijze van voortplanting blijkt dat het platformonafhankelijke, wat betekent dat toekomstige updates voor het daadwerkelijk kan worden gebruikt op Windows-machines, alsmede indien samengesteld voor het besturingssysteem van Microsoft. Volgens de analyse is zeer vergelijkbaar met de Satan ransomware gebruikt om Windows-machines te infecteren.
Om het doel machines te infecteren de Lucky ransomware maakt gebruik van een reeks van kwetsbaarheden:
- CVE-2013-4810 - Dit is een reeks van exploits die zijn geïdentificeerd in HP ProCurve Manager (PCM) 3.20 en 4.0, PCM + 3.20 en 4.0, Identity Driven Manager (IDM) 4.0, en Application Lifecycle Management waardoor aanvallers willekeurige code.
- CVE-2010-0738 - Dit is een ontdekt kwestie in de JMX-Console webapplicatie in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP of JBEAP) 4.2 vóór 4.2.0.CP09 en 4.3 voordat 4.3.0.CP08 die toegangscontrole werkt alleen voor GET en POST methoden. Dit maakt het mogelijk effectief kwaadwillende gebruikers om aanvallen op afstand uitvoeren.
- CVE-2017-12.615 - Bij het uitvoeren van Apache Tomcat 7.0.0 aan 7.0.79 op Windows met HTTP zet ingeschakeld (b.v.. via het instellen van de alleen-lezen initialisatie parameter van de standaard op false) was het mogelijk om een JSP-bestand uploaden naar de server via een speciaal vervaardigde aanvraag. Deze JSP zou dan kunnen worden aangevraagd en eventuele code in dit zou worden uitgevoerd door de server.
- Een Tomcat web beheerconsole wachtwoorden brute force verlenen van toegang tot de dienst.
- CVE-2017-10.271 - Dit is een kwetsbaarheid in de Oracle WebLogic server component: Ondersteunde versies die worden beïnvloed zijn 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 en 12.2.1.2.0. Inbraken kan resulteren in de overname van de server.
- MS17-010 - Dit is een patch die werd uitgebracht voor nieuwere versies van Windows verzachtende WannaCry ransomware infecties. We schreven een [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]uitvoerig artikel over het.
- Apache Struts 2 Web Application Framework Exploits - Dit is de grote en [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]bekende beveiligingsincident dat omvatte verschillende webservers wereldwijd. Een patch werd uitgebracht in maart 2017 maar dit niet stoppen met de aanslagen.
Zodra de gastheren zijn gecompromitteerd zal de infectie script de ransomware automatisch implementeren.
Geluk Ransomware Operation: Het infectieproces
Zodra de ransomware module wordt gestart het zal beginnen om gebruikersgegevens bestanden te versleutelen. De eerste actie het doet is om het te lezen /tmp / Ssession bestand. Het bevat informatie over tijdelijke activiteit gebruikt door diverse servercomponenten (meestal web services). Een standaard praktijk is om een vervaldatum die voor hen. Wanneer ze worden gelezen door de infectie motor zal het virus tonen de toegang tot gegevens in de ingestelde periode.
De vermelde systeembestanden worden verwerkt door de encryptie-engine en hernoemd met de .lucky extensie. De broncode analyse blijkt dat er een lijst met uitzonderingen is ook beschikbaar, die belangrijke systeembestanden locaties negeert. Als ze worden getroffen dan het systeem kan stoppen met werken. De beoogde data werd geïdentificeerd aan de volgende bestandsextensies omvatten:
achter, ritssluiting, sql, mdf, ldf, wereld, uitverkocht, DMP, xls, doc,
txt, ppt, csv, rtf, pdf, db, VDI, VMDK, VMX, neemt,
gz, pem, pfx, cer en PSF
Een ransomware noot wordt opgewekt in een bestand met de naam _How_To_Decrypt_My_File_.txt dat leest het volgende bericht:
Het spijt me om u te vertellen.
Sommige bestanden heeft versleuteld
Als u wilt dat uw bestanden terug , sturen 1 Bitcoin naar mijn portemonnee
mijn portemonnee adres: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Als je vragen hebt, Gelieve ons te contacteren.
Email: nmare@cock.li
Een interessant kenmerk is dat dit ransomware nota ook wordt geplaatst in de MOTD (bericht van de dag) waarvan is aangetoond dat alle gebruikers inloggen op de Linux computer. Wanneer de versleuteling is voltooid zal de module te zoeken naar andere hosts op het lokale netwerk en proberen ze te infecteren.
Als de Lucky ransomware succesvol in zijn infectie tactiek is verwachten we dat een Windows-gebaseerde versie van haar kan worden ontwikkeld. Als zijn gedrag is gebaseerd op Satan verwachten we dat het dezelfde RAAS zou volgen (ransomware-as-a-service) model-.