REvil Ransomware Portert til Linux for målrettede angrep
Sikkerhetsforskere informerte infosec-samfunnet om at REvil ransomware, skadelig programvare som er ansvarlig for den nylige $ 11 millioner ransomware-jobben på JBS Foods, nettopp har mottatt en Linux-port. I følge sikkerhetsekspertene som jobber med AT&T Cybersecurity, er den uventede nye porten et forsøk på en del av hackerne å målrette VMWares ESXi VM-administrasjonsplattform, samt NAS-enheter som bruker Linux som operativsystem.
Threatpost rapporterte at AT & T-forskerne har oppdaget fire forskjellige prøver av den Linux-baserte versjonen av REvil ransomware. Forskerne mottok et tips fra menneskene bak ID Ransomware-plattformen, kjent som MalwareHunterTeam på sosiale medieplattformer. Prøvene analysert av forskere var i ELF-64-format - et standard kjørbart format for Linux-baserte operativsystemer.
Årsaken til at denne oppdagelsen anses som interessant er at Unix og Linux-baserte operativsystemer i den generelle bevisstheten aldri er forbundet med skadelig programvare. Det er både på grunn av det begrensede antallet systemer og nettverk som kjører Linux sammenlignet med Windows-baserte, så vel som på grunn av det faktum at Linux alltid har blitt ansett som mer sikker og vanskeligere å bryte, da sårbarheter blir løst nesten umiddelbart av årvåken medlemmer av utviklermiljøet.
Det er ikke å si at det aldri har vært skadelig programvare som påvirker Linux-baserte operativsystemer tidligere, det er bare at forholdet mellom Linux-basert og Windows-basert malware er en liten brøkdel. Det gjentar at DarkSide-gruppen tidligere i år også porterte sin egen ransomware til Linux. Fokuset var det samme - VMWares ESXi-infrastruktur.
Det er en rekke likheter mellom Linux- og Windows-baserte versjoner av REvil. Disse inkluderer de samme utvidelsene som er lagt til krypterte filer, delt identifikator gitt til tredjeparts tilknyttede selskaper samt Base64-kodingen som brukes i strengen som inneholder den offentlige nøkkelen.
Hvordan den rare konkurransen mellom REvil og DarkSide-trusselskuespillergruppene går ut på den nye Linux-fronten, gjenstår å se.