За они кои веруваат дека Linux е недопирлив – RansomExx постои!

Малициозен софтвер за Linux

Бидејќи компаниите најчесто користат мешана околина на сервери со Windows и Linux,  рансомвер напаѓачите сè повеќе започнаа да создаваат верзии на нивниот малициозен софтвер за Linux, за да се осигураат дека ги криптираат сите критични податоци без исклучок.

Истражувачите на Kaspersky ја разгледуваа Linux верзијата на рансомверот RansomExx, позната и како Defray777.

Давателот на рутирање на сообраќајот Rand McNali го погоди нападот кој доби големо внимание месецов поради нивните тековни напади врз  Врховниот суд на Бразил и претходните напади врз Министерството за транспорт на Тексас (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.

Според Kaspersky, кога таргетираат Linux сервери, напаѓачите со RansomExx ќе распоредат извршен ELF со име ‘svc-new’ што се користи за криптирање на серверот на жртвата.

„По првичната анализа, забележавме сличности во кодот на Тројан, текстот на ransom и генералниот пристап кон изнуда, што сугерираше дека всушност стаува збор за надградба за Линукс на претходно познатото семејство за рансомвери RansomEXX“, велат истражувачите на Kaspersky во својот извештај.

Во извршната програма на Linux се вградуваат јавни клучеви за криптирање RSA-4096, ransomware порака и екстензија именувана по клиентот и ќе бидат додадени на сите криптирани датотеки.

Код за шифрирање на датотеки во Linux верзија

За разлика од Windows верзијата, Касперски наведува дека верзијата за Linux е бесплатен рансомвер. Не содржи никаков код за завршување на процесите, вклучително и безбедносен софтвер, не брише слободен простор како што тоа го прави верзијата за Windows и не комуницира со сервери за команда и контрола.

Ако жртвата плати откуп, тие ќе добијат и Linux и Windows декриптор со соодветниот приватен клуч RSA-4096 и шифрирана екстензија на датотека вградени во извршната.

Верзијата за Linux е именувана како „декриптор64“ и е декриптор управуван со командна линија, како што е прикажано подолу.

Fabian Wosar, Технички Директор на фирмата за сајбер безбедност Emsisoft, за BleepingComputer изјави дека првпат забележал RansomExx да користи верзија за Linux во нападите во јули 2020 година, но веројатно се користела и порано.

RansomExx не е првиот рансомвер што создаде верзии за Linux. Во минатото, Pysa (Menispoza), Snatch и PureLocker исто така дистрибуираа варијанти за Linux.

Превземено од www.cyberdefensemagazine.com

Julija Damjanovska

Recent Posts

Кибер отпорност – бариери и предизвици

Trellix открива јаз во разузнавањето за заканите, повикува на проактивна имплементација на стратегија за сајбер…

1 week ago

Достапен е Sophos Emergency Incident Response

Актерите на закана остануваат во офанзива, постојано проширувајќи го начинот на кој се инфилтрираат во…

1 week ago

Sophos – избор на клиентите на Gartner за EPP и EDR за 2025

Sophos - избор на клиентите на Gartner за EPP и EDR за 2025 Клиентите го…

2 weeks ago

ПРОМОТИВНА ПОНУДА НА LANDE КАБИНЕТИ И ДОДАТОЦИ

🎉 ПРОМОТИВНА ПОНУДА НА LANDE КАБИНЕТИ И ДОДАТОЦИВо рамки на ограничената залиха на КАБТЕЛ, ви нудиме промотивна…

4 weeks ago

Имплементација на SCADA во постоечки капацитети

 Имплементација на SCADA во постоечки капацитети Имплементацијата на SCADA систем во постоечки капацитети бара структуриран…

4 weeks ago

SCADA – Решенија за Индустриска Автоматизација

SCADA (Supervisory Control and Data Acquisition) е клучна технологија за автоматизација, надзор и контрола на…

4 weeks ago