最近发现的IceFire勒索软件现在也针对Linux系统

最近发现的Windows勒索软件IceFire现在也针对多个领域的Linux企业网络。

SentinelLabs研究人员发现了最近发现的IceFire勒索软件的新Linux版本，该软件被用于攻击全球多家媒体和娱乐组织。该勒索软件最初只针对基于Windows的系统，重点是科技公司。

MalwareHunterTeam的研究人员于2022年3月首次检测到IceFire，但自2022年8月以来，该组织通过其暗网泄漏网站声称受害者。

专家观察到威胁行为者利用IBM Aspera Faspex文件共享软件（CVE-2022-47986，CVSS 评分：9.8）中的反序列化漏洞来部署勒索软件。

大多数IceFire感染报告发生在土耳其、伊朗、巴基斯坦和阿拉伯联合酋长国。专家指出，这些国家通常不是有组织的勒索软件行动的重点。

SentinelOne研究人员成功地针对基于Intel的Ubuntu和Debian发行版测试了IceFire Linux版本。它的大小为2.18MB，而 64 位ELF二进制文件是使用gcc为AMD64架构编译的。

在专家观察到的一次攻击中，勒索软件成功地加密了运行易受攻击版本的IBM Aspera Faspex文件服务器软件的CentOS主机。

勒索软件加密文件并将“.ifire”扩展名附加到文件名，然后通过删除二进制文件来删除自身。

IceFire不会加密扩展名为“.sh”和“.cfg”的文件，它还会避免加密某些文件夹，以便受感染的机器继续可用。

“在我们的分析过程中，/home/[user_name]/ 的用户配置文件目录看到了最多的加密活动。IceFire针对用户和共享目录（例如，/mnt、/media、/share）进行加密；这些是文件系统中未受保护的部分，不需要提升权限即可写入或修改。” SentinelOne指出：“有趣的是，在IceFire加密文件服务器的共享文件夹后，一些文件共享客户端下载了良性加密文件。尽管服务器受到攻击，但客户端仍然能够从加密服务器下载文件。这意味着IceFire开发人员在排除的路径和文件扩展名中做出了深思熟虑的选择。”

Windows版本的勒索软件通过网络钓鱼消息传播，并使用后期开发工具包进行中转。Linux变体仍处于早期阶段。

专家指出，在报告发布时，IceFire二进制文件被0/61 VirusTotal引擎检测到。

赎金票据包含硬编码凭据，用于登录托管在Tor隐藏服务上的赎金支付门户。

“IceFire的这种演变表明，到2023年，针对Linux的勒索软件将继续流行 。虽然基础工作是在2021年奠定的，但Linux勒索软件的趋势在2022年加速，当时知名组织将Linux加密器添加到他们的武器库中，包括 BlackBasta、Hive等,Qilin,Vice Society aka HelloKitty，和别的。”专家总结道。“与 Windows 相比，Linux更难部署勒索软件——尤其是大规模部署。许多Linux系统都是服务器：典型的感染媒介（如网络钓鱼或路过式下载）效果较差。为了克服这个问题，参与者转向利用应用程序漏洞，正如IceFire操作员通过IBM Aspera漏洞部署有效载荷所展示的那样。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4835.html