標的型攻撃のためにLinuxに移植されたREvilランサムウェア
セキュリティ研究者は、JBSFoodsでの最近の1100万ドルのランサムウェアジョブの原因となったマルウェアであるREvilランサムウェアがLinuxポートを受け取ったばかりであることをinfosecコミュニティに通知しました。 AT&T Cybersecurityと協力しているセキュリティ専門家によると、予期しない新しいポートは、ハッカーの一部がVMWareのESXi VM管理プラットフォームと、オペレーティングシステムとしてLinuxを使用するNASデバイスを標的にしようとする試みです。
Threatpostは、AT&Tの研究者がLinuxベースのバージョンのREvilランサムウェアの4つの異なるサンプルを発見したと報告しました。研究者は、ソーシャルメディアプラットフォーム上で総称してMalwareHunterTeamとして知られているIDランサムウェアプラットフォームの背後にいる人々からヒントを受け取りました。研究者によって分析されたサンプルは、Linuxベースのオペレーティングシステムの標準的な実行可能形式であるELF-64形式でした。
この発見が興味深いと見なされる理由は、一般的な意識では、UnixおよびLinuxベースのオペレーティングシステムがマルウェアに関連付けられることは決してないためです。これは、Windowsベースのものと比較してLinuxを実行するシステムとネットワークの数が限られていることと、脆弱性が警戒によってほぼ瞬時に対処されるため、Linuxは常により安全で、侵害が難しいと見なされてきたという事実の両方によるものです。開発者コミュニティのメンバー。
これは、過去にLinuxベースのオペレーティングシステムに影響を与えるマルウェアがなかったということではありません。LinuxベースのマルウェアとWindowsベースのマルウェアの比率がごくわずかであるというだけです。今年の初めに、DarkSideグループも独自のランサムウェアをLinuxに移植したことを繰り返し述べます。焦点は同じでした-VMWareのESXiインフラストラクチャ。
LinuxとWindowsベースのバージョンのREvilの間には多くの類似点があります。これらには、暗号化されたファイルに追加された同じ拡張子、サードパーティのアフィリエイトに与えられた共有識別子、および公開鍵を含む文字列で使用されるBase64エンコーディングが含まれます。
REvilとDarkSideの脅威アクターグループ間の奇妙な競争が新しいLinuxの最前線でどのように展開するかはまだわかっていません。