Come ripetiamo spesso, i cyber criminali non riposano mai ed escogitano sempre nuovi metodi di attacco per poter ampliare le cosiddette "superfici di attacco", i bersagli potenziali. Quindi era solo questione di tempo, ma i ransomware sarebbero sicuramente sbarcati su Linux: ed ora è successo. D'altronde, agli attaccanti non è servito altro che prendere consapevolezza di quello che, nel mondo aziendale, è una normalità ovvero l'uso di un ambiente server misto Linux e Windows. Insomma, è ormai da tempo che sono aumentati gli sforzi del cybercrime per creare malware adatti alle versioni Linux, così da garantire la criptazione dei dati indipendentemente dall'ambiente in cui sono ospitati.
RansomExx non è un nuovo ransomware: è già balzato agli onori delle cronache per attacchi di un certo peso, quello contro la rete governativa del Brasile, ma anche contro il Dipartimento dei Trasporti del Texas, contro Konica Minolta, IPG Photonics e altri... Quel che è stato individuato recentemente in diffusione, è che poi costituisce novità, è una nuova versione, chiamata anche Defray777, che ha le capacità di colpire e criptare anche i server Linux.
Stando alle analisi dei ricercatori, quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato "svc.new": è questo file il responsabile della criptazione dei file sui sistemi Linux. Nell'eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un'estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima.
 |
| Fonte: bleepingcomputer.com |
A differenza della versione per Windows di questo ransomware, la quale mostra un certo livello di complessità, questa versione per Linux sembra minimale: non contiene alcun codice per terminare processi, neppure quelli di sicurezza, non comunica con alcun server di comando e controllo, non cancella lo spazio libero, tutte funzionalità che invece si trovano nella versione per Windows.
Utenti vittime di questo ransomware hanno anche segnalato che, una volta pagato il riscatto, vengono effettivamente inviati due decryptor diversi, uno per Linux e uno per Windows, con le corrispondenti chiavi private RSA-4096. Il decryptor per Linux si chiama "decryptor64" ed va eseguito tramite terminale come si può vedere sotto
Fabian Wosar di Emsisoft ha dichiarato che RansomExx è stato usato in attacchi contro sistemi Linux già nel Luglio 2020, ma è plausibile pensare che sia stato usato già in tempi antecedenti. Sicuramente non è il primo ransomware per Linux: PureLocker e Snatch sono stati gli apripista dei ransomware nel mondo del pinguino, con scarsi successi però a differenza di RansomExx.
Nessun commento:
Posta un commento