Os pesquisadores da Kaspersky descobriram recentemente um novo ransomware voltado para sistemas Linux. A equipe encontrou um executável ELF de 64 bits projetado para criptografar dados em máquinas com Linux.
A análise mostra que o ransomware compartilha muitas semelhanças com uma família anteriormente conhecida chamada RansomEXX. Essas semelhanças significam que o ransomware agora tem uma versão Linux. RansomEXX é conhecido por seus ataques direcionados contra grandes corporações, a maioria dos quais ocorreu no ano passado. De fato, A Kaspersky afirma que “RansomEXX é um Trojan altamente direcionado”. As empresas vitimadas pela RansomEXX incluem o Departamento de Transporte do Texas e a Konica Minolta.
Versão Linux RansomEXX
Assim que o ransomware for lançado na máquina Linux de destino, ele gera uma chave de 256 bits para criptografar todos os dados que pode alcançar através da cifra de bloco AES no modo ECB. A chave AES é então criptografada por uma chave pública RSA-4096, que está embutido em seu corpo e anexado a todos os arquivos criptografados.
Em termos de criptografia, o ransomware também regenera e criptografa novamente a chave AES a cada 0.8 segundos. Análise de Kaspersky, Contudo, mostra que as chaves só diferem a cada segundo. Apesar dos fortes esforços de criptografia, a versão Linux do RansomEXX carece de infraestrutura de comando e controle, término de processos em execução, e anti-análise. Esses recursos são típicos da maioria dos Trojans ransomware.
Apesar do fato de que compilações PE previamente descobertas de RansomEXX usam WinAPI (funções específicas para o sistema operacional Windows), a organização do código do cavalo de Tróia e o método de uso de funções específicas da biblioteca mbedtls sugerem que ELF e PE podem ser derivados do mesmo código-fonte, dizem os pesquisadores.
A versão anterior do RansomEXX para Windows usava a extensão .txd0t
A equipe também notou “semelhanças no procedimento que criptografa o conteúdo do arquivo, e no layout geral do código. ” A nota de resgate também é quase idêntica à variante do Windows.
Uma das versões mais recentes do RansomEXX voltado para Windows anexou a extensão .txd0t aos arquivos criptografados. O ransomware foi usado em um perigoso ataque contra uma grande empresa americana chamada Tyler Technologies, um provedor de software e provedor de serviços do setor público. Os cibercriminosos tornaram o site da empresa inativo.
A equipe de segurança detectou uma intrusão na rede da empresa em setembro 23, 2020. Felizmente, nenhum dado do cliente foi acessado pelos hackers. Todas as informações comprometidas parecem estar limitadas à rede interna e aos sistemas de telefone da empresa.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: