Το REvil Ransomware Ported στο Linux για στοχευμένες επιθέσεις
Οι ερευνητές ασφαλείας ενημέρωσαν την κοινότητα της infosec ότι το ransomware REvil, το κακόβουλο λογισμικό που είναι υπεύθυνο για την πρόσφατη εργασία ransomware 11 εκατομμυρίων δολαρίων στην JBS Foods, μόλις έλαβε μια θύρα Linux. Σύμφωνα με τους ειδικούς ασφαλείας που συνεργάζονται με την AT&T Cybersecurity, το απροσδόκητο νέο λιμάνι είναι μια προσπάθεια από μέρους των χάκερ να στοχεύσουν την πλατφόρμα διαχείρισης ESXi VM του VMWare καθώς και συσκευές NAS που χρησιμοποιούν το Linux ως λειτουργικό τους σύστημα.
Η Threatpost ανέφερε ότι οι ερευνητές της AT&T έχουν εντοπίσει τέσσερα διαφορετικά δείγματα της έκδοσης του Linux για το ransomware REvil. Οι ερευνητές έλαβαν μια συμβουλή από τα άτομα πίσω από την πλατφόρμα ID Ransomware, γνωστά συλλογικά ως MalwareHunterTeam σε πλατφόρμες κοινωνικών μέσων. Τα δείγματα που αναλύθηκαν από ερευνητές ήταν σε μορφή ELF-64 - μια τυπική εκτελέσιμη μορφή για λειτουργικά συστήματα που βασίζονται σε Linux.
Ο λόγος για τον οποίο αυτή η ανακάλυψη θεωρείται ενδιαφέρουσα είναι ότι στη γενική συνείδηση τα Unix και λειτουργικά συστήματα που βασίζονται σε Linux δεν συνδέονται ποτέ με κακόβουλο λογισμικό. Αυτό οφείλεται τόσο στον περιορισμένο αριθμό συστημάτων και δικτύων που εκτελούν Linux σε σύγκριση με αυτά που βασίζονται σε Windows, καθώς και λόγω του γεγονότος ότι το Linux θεωρήθηκε πάντα πιο ασφαλές και πιο δύσκολο να παραβιαστεί, καθώς οι ευπάθειες αντιμετωπίζονται σχεδόν αμέσως από επαγρύπνηση. μέλη της κοινότητας προγραμματιστών.
Αυτό δεν σημαίνει ότι δεν υπήρξε ποτέ κακόβουλο λογισμικό που επηρεάζει τα λειτουργικά συστήματα που βασίζονται σε Linux στο παρελθόν, είναι ακριβώς ότι η αναλογία κακόβουλου λογισμικού που βασίζεται σε Linux και Windows είναι ένα μικρό κλάσμα. Αρχίζει να επαναλαμβάνεται ότι νωρίτερα φέτος ο όμιλος DarkSide μετέφερε επίσης το δικό του ransomware στο Linux. Το επίκεντρο ήταν το ίδιο - η υποδομή ESXi του VMWare.
Υπάρχουν πολλές ομοιότητες μεταξύ των εκδόσεων REvil που βασίζονται σε Linux και Windows. Αυτές περιλαμβάνουν τις ίδιες επεκτάσεις που επισυνάπτονται σε κρυπτογραφημένα αρχεία, κοινόχρηστο αναγνωριστικό που δίνεται σε τρίτους συνεργάτες, καθώς και την κωδικοποίηση Base64 που χρησιμοποιείται στη συμβολοσειρά που περιέχει το δημόσιο κλειδί.
Πώς φαίνεται ο περίεργος ανταγωνισμός μεταξύ των ομάδων ηθοποιών REVIL και DarkSide στο νέο μέτωπο Linux.