REvil Ransomware portas till Linux för riktade attacker
Säkerhetsforskare informerade infosec-communityn att REvil ransomware, skadlig programvara som ansvarar för det senaste 11 miljoner dollar ransomware-jobbet på JBS Foods, just har fått en Linux-port. Enligt säkerhetsexperterna som arbetar med AT&T Cybersecurity är den oväntade nya porten ett försök på en del av hackarna att rikta sig mot VMWares ESXi VM-hanteringsplattform samt NAS-enheter som använder Linux som operativsystem.
Threatpost rapporterade att AT & T-forskarna har upptäckt fyra olika prover av den Linux-baserade versionen av REvil ransomware. Forskarna fick ett tips från folket bakom ID Ransomware-plattformen, gemensamt känd som MalwareHunterTeam på sociala medieplattformar. Proverna som analyserades av forskare var i ELF-64-formatet - ett standardkörbart format för Linux-baserade operativsystem.
Anledningen till att denna upptäckt anses vara intressant är att Unix och Linux-baserade operativsystem i allmänhet aldrig är associerade med skadlig kod. Det beror både på det begränsade antalet system och nätverk som kör Linux jämfört med Windows-baserade, liksom på grund av att Linux alltid har ansetts säkrare och svårare att bryta, eftersom sårbarheter hanteras nästan omedelbart av vaksamma medlemmar i utvecklargemenskapen.
Det betyder inte att det aldrig har funnits skadlig kod som påverkar Linux-baserade operativsystem tidigare, det är bara att förhållandet mellan Linux-baserad och Windows-baserad skadlig kod är en liten bråkdel. Det upprepar att DarkSide-gruppen tidigare i år också portade sin egen ransomware till Linux. Fokus var detsamma - VMWares ESXi-infrastruktur.
Det finns ett antal likheter mellan Linux- och Windows-baserade versioner av REvil. Dessa inkluderar samma tillägg som är bifogade till krypterade filer, delad identifierare som ges till tredje parts dotterbolag samt Base64-kodning som används i strängen som innehåller den offentliga nyckeln.
Hur den konstiga konkurrensen mellan REvil och DarkSide-hotaktörsgrupperna går ut på den nya Linuxfronten återstår att se.