Программа-вымогатель REvil перенесена на Linux для целевых атак
Исследователи в области безопасности проинформировали сообщество информационной безопасности о том, что программа-вымогатель REvil, вредоносная программа, ответственная за недавнюю работу по вымогательству на сумму 11 миллионов долларов для компании JBS Foods, только что получила порт Linux. По словам экспертов по безопасности, работающих с AT&T Cybersecurity, неожиданный новый порт - это попытка хакеров атаковать платформу управления VMWare ESXi VM, а также устройства NAS, которые используют Linux в качестве своей операционной системы.
Threatpost сообщил, что исследователи AT&T обнаружили четыре различных образца версии вымогателя REvil для Linux. Исследователи получили подсказку от людей, стоящих за платформой ID Ransomware, известной под общим названием MalwareHunterTeam в социальных сетях. Образцы, проанализированные исследователями, были в формате ELF-64 - стандартном исполняемом формате для операционных систем на базе Linux.
Причина, по которой это открытие считается интересным, заключается в том, что в общепринятом смысле операционные системы на базе Unix и Linux никогда не ассоциируются с вредоносными программами. Это связано как с ограниченным количеством систем и сетей, на которых работает Linux, по сравнению с системами на базе Windows, так и с тем фактом, что Linux всегда считался более безопасным и трудным для взлома, поскольку бдительные члены сообщества разработчиков.
Это не означает, что в прошлом никогда не существовало вредоносных программ, которые влияли бы на операционные системы на базе Linux, просто соотношение вредоносных программ на базе Linux и Windows составляет ничтожную долю. Следует повторить, что ранее в этом году группа DarkSide также перенесла на Linux собственную программу-вымогатель. В центре внимания был тот же - инфраструктура ESXi VMWare.
Между версиями REvil для Linux и Windows есть ряд общих черт. К ним относятся те же расширения, которые добавляются к зашифрованным файлам, общий идентификатор, предоставляемый сторонним аффилированным лицам, а также кодировка Base64, используемая в строке, содержащей открытый ключ.
Каким образом странная конкуренция между группами злоумышленников REvil и DarkSide развернется на новом фронте Linux, еще неизвестно.
