Κακόβουλοι φορείς που συνδέονται με το IceFire ransomware στοχεύουν πλέον ενεργά συστήματα Linux σε όλο τον κόσμο με έναν νέο αποκλειστικό encryptor.
Πρόσφατα, μια ομάδα ερευνητών της SentinelLabs αποκάλυψε ότι μια οργανωμένη εγκληματική ομάδα έχει διεισδύσει στα δίκτυα πολλών εταιρειών μέσων ενημέρωσης και ψυχαγωγίας παγκοσμίως από τα μέσα Φεβρουαρίου – ένα γεγονός που αποκαλύφθηκε στο BleepingComputer σε μια εμπιστευτική έκθεση.
Αποκτώντας πρόσβαση σε ευάλωτα δίκτυα, οι επιτιθέμενοι αναπτύσσουν μια παραλλαγή κακόβουλου λογισμικού που κρυπτογραφεί τα Linux συστήματα του στόχου.
Μόλις ενεργοποιηθεί, το ransomware IceFire κρυπτογραφεί τα δεδομένα σας και προσθέτει μια επέκταση ‘.ifire’ στο όνομα αρχείου. Στη συνέχεια, διαγράφει όλα τα αποδεικτικά στοιχεία της δραστηριότητάς του διαγράφοντας τον εαυτό του από το σύστημά σας και αφαιρώντας συνολικά τον κακόβουλο δυαδικό κώδικα.
Δείτε επίσης: Η πόλη Waynesboro δέχτηκε κυβερνοεπίθεση
Επιπλέον, είναι σημαντικό να επισημάνουμε ότι το IceFire δεν κρυπτογραφεί όλα τα αρχεία που είναι αποθηκευμένα σε συστήματα Linux. Παραλείποντας σκόπιμα την κρυπτογράφηση ορισμένων path, επιτρέπεται να παραμείνουν χρησιμοποιήσιμα βασικά τμήματα του συστήματος.
Αυτή η υπολογισμένη προσέγγιση έχει σκοπό να αποτρέψει έναν πλήρη τερματισμό λειτουργίας του συστήματος, ο οποίος θα μπορούσε να προκαλέσει ανεπανόρθωτη ζημιά και ακόμη πιο σημαντική διακοπή.
Από τον Μάρτιο του 2022, το ransomware IceFire έχει πλήξει πολλά θύματα. Ωστόσο, παρέμεινε αδρανές μέχρι τις αρχές Ιανουαρίου, όταν το κακόβουλο λογισμικό επέστρεψε σε νέες επιθέσεις που ξεκίνησαν με βάση τις υποβολές στην πλατφόρμα ID-Ransomware.
Στόχευση IBM Aspera Faspex
Οι χειριστές του IceFire εκμεταλλεύονται μια ευπάθεια deserialization στο λογισμικό κοινής χρήσης αρχείων IBM Aspera Faspex (που παρακολουθείται ως CVE-2022-47986) για να παραβιάσουν τα ευάλωτα συστήματα των στόχων και να αναπτύξουν τα ransomware payload τους.
Αυτή η ευπάθεια υψηλής σοβαρότητας προεγκρίσεως RCE διορθώθηκε από την IBM τον Ιανουάριο και αξιοποιήθηκε σε επιθέσεις από τις αρχές Φεβρουαρίου αφού η εταιρεία διαχείρισης attack surface Assetnote δημοσίευσε μια τεχνική αναφορά που περιέχει exploit code.
Στις 2021 Φεβρουαρίου, η CISA συμπεριέλαβε το ελάττωμα ασφαλείας στον κατάλογο των ευπαθειών που εκμεταλλεύονται οι επιτιθέμενοι και επέβαλε στις ομοσπονδιακές υπηρεσίες να διορθώσουν τα συστήματά τους έως τις 14 Μαρτίου.
Με περισσότερους από 150 Aspera Faspex servers να έχουν αποκαλυφθεί στο διαδίκτυο, το Shodan δείχνει ότι οι ΗΠΑ και η Κίνα είναι δύο από τις κορυφαίες χώρες σε δημόσια πρόσβαση σε αυτή την υπηρεσία.
Δείτε επίσης: Η Ιαπωνία θα στρατολογήσει τους τηλεπικοινωνιακούς φορείς για την καταπολέμηση των κυβερνοεπιθέσεων
Τα περισσότερα στελέχη ransomware κρυπτογραφούν Linux servers
Το ransomware IceFire αποφάσισε να επικεντρωθεί εκ νέου σε συστήματα Linux, αφού προηγουμένως επικεντρωνόταν μόνο σε δίκτυα Windows, αντικατοπτρίζοντας την πρόσφατη τακτική άλλων συμμοριών ransomware. Αυτή η στρατηγική στροφή δείχνει μια τάση στις ομάδες κακόβουλου λογισμικού που στοχεύουν ενεργά σε μηχανήματα Linux και καταδεικνύει την αυξανόμενη πολυπλοκότητά τους.
Η κίνησή τους ταιριάζει με μια τάση όπου οι επιχειρήσεις μεταβαίνουν σε VMware ESXi virtual machines με Linux, οι οποίες διαθέτουν βελτιωμένη διαχείριση συσκευών και πολύ πιο αποτελεσματικό χειρισμό πόρων.
Αφού αναπτύξουν το κακόβουλο λογισμικό τους σε ESXi hosts, οι χειριστές ransomware μπορούν να χρησιμοποιήσουν μία μόνο εντολή για να κρυπτογραφήσουν μαζικά τους Linux servers των θυμάτων.
Αν και το IceFire ransomware δεν στοχεύει συγκεκριμένα VMware ESXi VM, ο κρυπτογραφητής Linux του είναι εξίσου αποτελεσματικός, όπως φαίνεται από τα κρυπτογραφημένα αρχεία των θυμάτων που υποβάλλονται στην πλατφόρμα ID-Ransomware για ανάλυση.
Παρόμοιοι κρυπτογραφητές έχουν κυκλοφορήσει από πολλές άλλες συμμορίες ransomware, συμπεριλαμβανομένων των Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX και Hive.
Δείτε επίσης: Η ελβετική εταιρεία κυβερνοασφάλειας Acronis παραβιάστηκε
Ο CTO της Emsisoft Fabian Wosar είπε στο BleepingComputer ότι άλλες συμμορίες ransomware (εκτός από αυτές που έχουμε ήδη αναφέρει), συμπεριλαμβανομένων των Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx/Defray και DarkSide, έχουν αναπτύξει και αναπτύξει τους δικούς τους Linux encryptors σε επιθέσεις.
Πηγή πληροφοριών: bleepingcomputer.com
