Onderzoekers van Kaspersky hebben onlangs nieuwe ransomware ontdekt die zich richt op Linux-systemen. Het team kwam een 64-bits ELF-uitvoerbaar bestand tegen dat is ontworpen om gegevens op Linux-draaiende machines te versleutelen.
De analyse toont aan dat de ransomware veel overeenkomsten vertoont met een eerder bekende familie genaamd RansomEXX. Deze overeenkomsten betekenen dat de ransomware nu een Linux-build heeft. RansomEXX staat bekend om zijn gerichte aanvallen op grote bedrijven, waarvan de meeste vorig jaar plaatsvonden. In feite, Kaspersky zegt dat "RansomEXX een zeer gerichte Trojan is." Bedrijven die het slachtoffer zijn van RansomEXX zijn onder meer het Texas Department of Transportation en Konica Minolta.
RansomEXX Linux-versie
Zodra de ransomware is gelanceerd op de beoogde Linux-machine, het genereert een 256-bits sleutel om alle gegevens te versleutelen die het kan bereiken via het AES-blokcijfer in ECB-modus. De AES-sleutel wordt vervolgens versleuteld met een openbare RSA-4096-sleutel, die is ingebed in de body en wordt toegevoegd aan alle gecodeerde bestanden.
In termen van encryptie, de ransomware regenereert en versleutelt ook elke keer de AES-sleutel 0.8 seconden. Kaspersky's analyse, echter, laat zien dat de toetsen maar elke seconde verschillen. Ondanks sterke coderingsinspanningen, de Linux-build van RansomEXX mist een command-and-control-infrastructuur, beëindiging van lopende processen, en anti-analyse. Deze functies zijn typisch voor de meeste ransomware-trojans.
Ondanks het feit dat eerder ontdekte PE-builds van RansomEXX WinAPI gebruiken (functies die specifiek zijn voor Windows OS), de organisatie van de code van de Trojan en de methode om specifieke functies uit de mbedtls-bibliotheek te gebruiken hint dat zowel ELF als PE afgeleid kunnen zijn van dezelfde broncode, zeggen de onderzoekers.
De vorige Windows-versie van RansomEXX gebruikte de extensie .txd0t
Het team merkte ook "overeenkomsten op in de procedure voor het versleutelen van de bestandsinhoud, en in de algemene lay-out van de code. " Het losgeldbriefje is ook bijna identiek aan de Windows-variant.
Een van de nieuwste versies van de op Windows gerichte RansomEXX de extensie .txd0t toegevoegd aan versleutelde bestanden. De ransomware werd gebruikt bij een gevaarlijke aanval op een groot Amerikaans bedrijf genaamd Tyler Technologies, een softwareleverancier en dienstverlener in de publieke sector. De cybercriminelen hebben de website van het bedrijf inactief gemaakt.
Het beveiligingspersoneel ontdekte in september een inbraak in het netwerk van het bedrijf 23, 2020. Gelukkig, de hackers hebben geen toegang tot klantgegevens. Alle gecompromitteerde informatie lijkt beperkt te zijn tot het interne netwerk en de telefoonsystemen van het bedrijf.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: