REvil Ransomware Porteret til Linux for målrettede angreb
Sikkerhedsforskere informerede infosec-samfundet om, at REvil ransomware, den malware, der er ansvarlig for det nylige $ 11 millioner ransomware-job på JBS Foods, netop har modtaget en Linux-port. Ifølge sikkerhedseksperterne, der arbejder med AT&T Cybersecurity, er den uventede nye port et forsøg på en del af hackerne at målrette mod VMWares ESXi VM-styringsplatform samt NAS-enheder, der bruger Linux som deres operativsystem.
Threatpost rapporterede, at AT & T-forskerne har set fire forskellige prøver af den Linux-baserede version af REvil ransomware. Forskerne modtog et tip fra folket bag ID Ransomware-platformen, samlet kaldet MalwareHunterTeam på sociale medieplatforme. Prøverne analyseret af forskere var i ELF-64 format - et standard eksekverbart format til Linux-baserede operativsystemer.
Årsagen til, at denne opdagelse betragtes som interessant, er, at Unix- og Linux-baserede operativsystemer i den generelle bevidsthed aldrig er forbundet med malware. Det skyldes både det begrænsede antal systemer og netværk, der kører Linux sammenlignet med Windows-baserede, såvel som på grund af det faktum, at Linux altid er blevet betragtet som mere sikker og sværere at bryde, da sårbarheder løses næsten øjeblikkeligt af årvågen medlemmer af udviklerfællesskabet.
Det betyder ikke, at der aldrig tidligere har været malware, der påvirker Linux-baserede operativsystemer, det er bare, at forholdet mellem Linux-baseret og Windows-baseret malware er en lille brøkdel. Det gentages, at DarkSide-gruppen tidligere på året også porterede sin egen ransomware til Linux. Fokus var det samme - VMWares ESXi-infrastruktur.
Der er en række ligheder mellem Linux- og Windows-baserede versioner af REvil. Disse inkluderer de samme udvidelser, der er tilføjet krypterede filer, delt identifikator givet til tredjepartsfilialer samt Base64-kodning, der bruges i strengen, der indeholder den offentlige nøgle.
Hvordan den underlige konkurrence mellem REvil og DarkSide-trussels skuespillergrupper går ud på den nye Linux-front, skal stadig ses.