最近发现的IceFire勒索软件现在也针对Linux系统
最近发现的Windows勒索软件IceFire现在也针对多个领域的Linux企业网络。
SentinelLabs研究人员发现了最近发现的IceFire勒索软件的新Linux版本,该软件被用于攻击全球多家媒体和娱乐组织。该勒索软件最初只针对基于Windows的系统,重点是科技公司。
MalwareHunterTeam的研究人员于2022年3月首次检测到IceFire,但自2022年8月以来,该组织通过其暗网泄漏网站声称受害者。

专家观察到威胁行为者利用IBM Aspera Faspex文件共享软件(CVE-2022-47986,CVSS 评分:9.8)中的反序列化漏洞来部署勒索软件。
大多数IceFire感染报告发生在土耳其、伊朗、巴基斯坦和阿拉伯联合酋长国。专家指出,这些国家通常不是有组织的勒索软件行动的重点。
SentinelOne研究人员成功地针对基于Intel的Ubuntu和Debian发行版测试了IceFire Linux版本。它的大小为2.18MB,而 64 位ELF二进制文件是使用gcc为AMD64架构编译的。
在专家观察到的一次攻击中,勒索软件成功地加密了运行易受攻击版本的IBM Aspera Faspex文件服务器软件的CentOS主机。
勒索软件加密文件并将“.ifire”扩展名附加到文件名,然后通过删除二进制文件来删除自身。
IceFire不会加密扩展名为“.sh”和“.cfg”的文件,它还会避免加密某些文件夹,以便受感染的机器继续可用。
“在我们的分析过程中,/home/[user_name]/ 的用户配置文件目录看到了最多的加密活动。IceFire针对用户和共享目录(例如,/mnt、/media、/share)进行加密;这些是文件系统中未受保护的部分,不需要提升权限即可写入或修改。” SentinelOne指出:“有趣的是,在IceFire加密文件服务器的共享文件夹后,一些文件共享客户端下载了良性加密文件。尽管服务器受到攻击,但客户端仍然能够从加密服务器下载文件。这意味着IceFire开发人员在排除的路径和文件扩展名中做出了深思熟虑的选择。”
Windows版本的勒索软件通过网络钓鱼消息传播,并使用后期开发工具包进行中转。Linux变体仍处于早期阶段。
专家指出,在报告发布时,IceFire二进制文件被0/61 VirusTotal引擎检测到。
赎金票据包含硬编码凭据,用于登录托管在Tor隐藏服务上的赎金支付门户。

“IceFire的这种演变表明,到2023年,针对Linux的勒索软件将继续流行 。虽然基础工作是在2021年奠定的,但Linux勒索软件的趋势在2022年加速,当时知名组织将Linux加密器添加到他们的武器库中,包括 BlackBasta、Hive等,Qilin,Vice Society aka HelloKitty,和别的。”专家总结道。“与 Windows 相比,Linux更难部署勒索软件——尤其是大规模部署。许多Linux系统都是服务器:典型的感染媒介(如网络钓鱼或路过式下载)效果较差。为了克服这个问题,参与者转向利用应用程序漏洞,正如IceFire操作员通过IBM Aspera漏洞部署有效载荷所展示的那样。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4835.html