REvil Ransomware geport naar Linux voor gerichte aanvallen
Beveiligingsonderzoekers hebben de infosec-gemeenschap laten weten dat de REvil-ransomware, de malware die verantwoordelijk is voor de recente $ 11 miljoen ransomware-klus op JBS Foods, zojuist een Linux-poort heeft ontvangen. Volgens de beveiligingsexperts die met AT&T Cybersecurity werken, is de onverwachte nieuwe poort een poging van een deel van de hackers om zich te richten op het ESXi VM-beheerplatform van VMWare, evenals op NAS-apparaten die Linux als besturingssysteem gebruiken.
Threatpost meldde dat de AT&T-onderzoekers vier verschillende voorbeelden van de op Linux gebaseerde versie van de REvil-ransomware hebben gezien. De onderzoekers kregen een tip van de mensen achter het ID Ransomware-platform, op sociale mediaplatforms gezamenlijk bekend als MalwareHunterTeam. De door onderzoekers geanalyseerde monsters waren in het ELF-64-formaat - een standaard uitvoerbaar formaat voor de op Linux gebaseerde besturingssystemen.
De reden waarom deze ontdekking als interessant wordt beschouwd, is dat in het algemene bewustzijn Unix- en Linux-gebaseerde besturingssystemen nooit worden geassocieerd met malware. Dat is zowel vanwege het beperkte aantal systemen en netwerken waarop Linux draait in vergelijking met op Windows gebaseerde systemen, als vanwege het feit dat Linux altijd als veiliger en moeilijker te doorbreken is beschouwd, aangezien kwetsbaarheden vrijwel onmiddellijk worden aangepakt door waakzame leden van de ontwikkelaarsgemeenschap.
Dat wil niet zeggen dat er in het verleden nooit malware is geweest die Linux-gebaseerde besturingssystemen aantast, het is alleen dat de verhouding tussen Linux-gebaseerde en Windows-gebaseerde malware een kleine fractie is. Het is goed om te herhalen dat eerder dit jaar de DarkSide-groep ook zijn eigen ransomware naar Linux heeft geport. De focus was hetzelfde: de ESXi-infrastructuur van VMWare.
Er zijn een aantal overeenkomsten tussen de op Linux en Windows gebaseerde versies van REvil. Deze omvatten dezelfde extensies die zijn toegevoegd aan versleutelde bestanden, een gedeelde identifier die wordt gegeven aan externe partners en de Base64-codering die wordt gebruikt in de tekenreeks die de openbare sleutel bevat.
Hoe de vreemde concurrentie tussen de REvil- en DarkSide-dreigingsacteursgroepen op het nieuwe Linux-front uitpakt, valt nog te bezien.