REvil Ransomware Linuxra továbbítva célzott támadásokhoz
A biztonsági kutatók arról tájékoztatták az infosec közösséget, hogy a REvil ransomware, a JBS Foods legutóbbi 11 millió dolláros ransomware-munkájáért felelős rosszindulatú program éppen kapott egy Linux portot. Az AT&T Cybersecurity munkatársaival dolgozó biztonsági szakértők szerint a váratlan új port a hackerek egy részének kísérlete a VMWare ESXi VM felügyeleti platformjának, valamint a Linuxot operációs rendszerként használó NAS eszközök megcélzásának.
A Threatpost arról számolt be, hogy az AT&T kutatói négy különböző mintát fedeztek fel a REvil ransomware Linux-alapú változatából. A kutatók tippet kaptak az ID Ransomware platform mögött álló emberektől, akik a közösségi média platformokon együttesen MalwareHunterTeam néven ismertek. A kutatók által elemzett minták ELF-64 formátumban voltak - ez egy szabványos futtatható formátum a Linux alapú operációs rendszerekhez.
Azért tartják érdekesnek ezt a felfedezést, mert az általános tudatban a Unix és a Linux alapú operációs rendszerek soha nem társulnak rosszindulatú programokkal. Ez mind a Linuxot futtató rendszerek és hálózatok korlátozott száma, mind a Windows-alapúak miatt, valamint annak a ténynek köszönhető, hogy a Linuxot mindig is biztonságosabbnak és nehezebben áttörhetőnek tekintették, mivel az éberek szinte azonnal megoldják a sebezhetőségeket a fejlesztői közösség tagjai.
Ez nem azt jelenti, hogy a múltban soha nem volt olyan rosszindulatú program, amely befolyásolta volna a Linux-alapú operációs rendszereket, csupán annyi, hogy a Linux-alapú és a Windows-alapú rosszindulatú programok aránya apró töredék. Megismétli, hogy az év elején a DarkSide csoport saját ransomware-jét is Linuxra továbbította. A hangsúly ugyanaz volt - a VMWare ESXi infrastruktúrája.
A REvil Linux és Windows alapú verziói között számos hasonlóság van. Ezek tartalmazzák a titkosított fájlokhoz mellékelt ugyanazokat a kiterjesztéseket, a harmadik fél leányvállalatainak adott megosztott azonosítót, valamint a nyilvános kulcsot tartalmazó karaktersorozatban használt Base64 kódolást.
Azt, hogy a REvil és a DarkSide fenyegetés-színészcsoportok között milyen furcsa verseny folyik az új Linux-fronton, még várni kell.