REvil Ransomware przeniesione do systemu Linux w celu ataków ukierunkowanych
Badacze bezpieczeństwa poinformowali społeczność infosec, że oprogramowanie ransomware REvil, złośliwe oprogramowanie odpowiedzialne za niedawną pracę ransomware o wartości 11 milionów dolarów na JBS Foods, właśnie otrzymało port na Linuksa. Według ekspertów ds. bezpieczeństwa pracujących z AT&T Cybersecurity, nieoczekiwany nowy port jest próbą ze strony hakerów zaatakowania platformy zarządzania maszynami wirtualnymi VMWare ESXi oraz urządzeń NAS, które używają Linuxa jako swojego systemu operacyjnego.
Threatpost poinformował, że badacze AT&T wykryli cztery różne próbki opartej na Linuksie wersji ransomware REvil. Badacze otrzymali wskazówkę od osób stojących za platformą ID Ransomware, znaną na platformach społecznościowych pod wspólną nazwą MalwareHunterTeam. Próbki przeanalizowane przez naukowców były w formacie ELF-64 - standardowym formacie wykonywalnym dla systemów operacyjnych opartych na Linuksie.
Powodem, dla którego to odkrycie jest uważane za interesujące, jest to, że w powszechnej świadomości systemy operacyjne oparte na systemach Unix i Linux nigdy nie są kojarzone ze złośliwym oprogramowaniem. Dzieje się tak zarówno z powodu ograniczonej liczby systemów i sieci, które działają pod kontrolą systemu Linux w porównaniu z systemami Windows, jak i z powodu faktu, że Linux zawsze był uważany za bezpieczniejszy i trudniejszy do złamania, ponieważ luki są niemal natychmiast usuwane przez czujność. członkowie społeczności programistów.
Nie oznacza to, że w przeszłości nigdy nie było złośliwego oprogramowania, które miałoby wpływ na systemy operacyjne oparte na Linuksie, po prostu stosunek złośliwego oprogramowania opartego na Linuksie do złośliwego oprogramowania opartego na systemie Windows to niewielki ułamek. Warto powtórzyć, że na początku tego roku grupa DarkSide przeniosła również własne oprogramowanie ransomware na Linuksa. Skupiono się na tym samym - infrastrukturze ESXi firmy VMWare.
Istnieje wiele podobieństw między wersją REvil dla systemu Linux i Windows. Należą do nich te same rozszerzenia dołączane do zaszyfrowanych plików, wspólny identyfikator nadawany podmiotom stowarzyszonym stron trzecich, a także kodowanie Base64 używane w ciągu zawierającym klucz publiczny.
Jak dziwna konkurencja między grupami zajmującymi się zagrożeniami REvil i DarkSide rozwija się na nowym froncie Linuksa, dopiero się okaże.