Com as empresas geralmente usando um ambiente misto de servidores Windows e Linux, as operações de ransomware têm cada vez mais começado a criar versões Linux de seu malware para garantir a criptografia de todos os dados críticos.
Um novo relatório de hoje da Kaspersky dá uma olhada na versão Linux do ransomware RansomExx, também conhecido como Defray777.
RansomExx tem recebido muita atenção esta semana devido aos seus ataques contínuos contra as redes do governo do Brasil e ataques anteriores contra o Departamento de Transporte do Texas (TxDOT), Konica Minolta , IPG Photonics e Tyler Technologies.
Versão Linux de RansomExx
De acordo com a Kaspersky, ao almejar servidores Linux, os operadores RansomExx irão implantar um executável ELF chamado ‘svc-new’ usado para criptografar o servidor da vítima.
“Após a análise inicial, notamos semelhanças no código do cavalo de Tróia, no texto das notas de resgate e na abordagem geral da extorsão, o que sugeria que havíamos de fato encontrado uma versão Linux da família de ransomware anteriormente conhecida RansomEXX”, pesquisadores da Kaspersky declararam em seu relatório.
Embutidos no executável do Linux estão uma chave de criptografia RSA-4096 pública, a nota de resgate e uma extensão com o nome do cliente que será anexada a todos os arquivos criptografados.
Ao contrário da versão do Windows, a Kaspersky afirma que a versão do Linux é um ransomware simples. Ele não contém nenhum código para encerrar processos, incluindo software de segurança, não limpa o espaço livre como a versão do Windows faz e não se comunica com um servidor de comando e controle.
Se a vítima pagar o resgate, ela receberá um descriptografador do Linux e do Windows com a chave privada RSA-4096 correspondente e a extensão de arquivo criptografada embutida no executável.
A versão do Linux é chamada de ‘decryptor64’ e é um descriptografador controlado por linha de comando, conforme mostrado abaixo.
Fabian Wosar, CTO da empresa de segurança cibernética Emsisoft, disse à BleepingComputer que viu pela primeira vez o RansomExx utilizando uma versão do Linux em ataques em julho de 2020, mas pode ter sido usado antes.
RansomExx não é o primeiro ransomware a criar versões do Linux. No passado, Pysa (Menispoza), Snatch e PureLocker também distribuíram variantes do Linux.
do Original em: https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-also-encrypts-linux-systems/
