Исследователи из Лаборатории Касперского выявили версию вымогательского вредоносного ПО RansomEXX для Linux. Изначально RansomEXX распространялся только на платформе Windows и стал известен, благодаря нескольким крупным инцидентам с поражением систем различных госучреждений и компаний, включая Департамент транспорта штата Техас и компанию Konica Minolta.
RansomEXX выполняет шифрование данных на диске, после чего требует выкуп для получения ключа расшифровки. Шифрование организовано при помощи открытой библиотеки mbedtls. После запуска вредоносное ПО генерирует 256-битный ключ и использует его для шифрования всех доступных файлов, применяя блочный шифр AES в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы оказываются зашифрованы разными ключами AES. Каждый AES-ключ шифруется при помощи публичного ключа RSA-4096, встроенного в код вредоносного ПО, и прикрепляется к каждому зашифрованному файлу. Для расшифровки вымогатели предлагают купить у них закрытый ключ.
Особенностью RansomEXX является использование в целевых атаках, в ходе которых злоумышленники через компрометацию уязвимостей или методы социальной инженерии получают доступ к одной из систем в сети, после чего атакуют другие системы и внедряют специально собранный для каждой атакованной инфраструктуры вариант вредоносного ПО, включающий название компании и каждый раз разные контактные данные.
Изначально, злоумышленники пытались в ходе атаки на корпоративные сети получить управление как можно большим числом рабочих станций для установки на них вредоносного ПО, но данная стратегия оказалась ошибочной и во многих случаях системы просто переустанавливали с использованием резервной копии, не платя выкуп. Теперь стратегия злоумышленников изменилась и они нацелились на поражение в первую очередь корпоративных серверных систем, и особенно централизованных систем хранения, в том числе работающих под управлением Linux.
Opennet
RansomEXX выполняет шифрование данных на диске, после чего требует выкуп для получения ключа расшифровки. Шифрование организовано при помощи открытой библиотеки mbedtls. После запуска вредоносное ПО генерирует 256-битный ключ и использует его для шифрования всех доступных файлов, применяя блочный шифр AES в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы оказываются зашифрованы разными ключами AES. Каждый AES-ключ шифруется при помощи публичного ключа RSA-4096, встроенного в код вредоносного ПО, и прикрепляется к каждому зашифрованному файлу. Для расшифровки вымогатели предлагают купить у них закрытый ключ.
Особенностью RansomEXX является использование в целевых атаках, в ходе которых злоумышленники через компрометацию уязвимостей или методы социальной инженерии получают доступ к одной из систем в сети, после чего атакуют другие системы и внедряют специально собранный для каждой атакованной инфраструктуры вариант вредоносного ПО, включающий название компании и каждый раз разные контактные данные.
Изначально, злоумышленники пытались в ходе атаки на корпоративные сети получить управление как можно большим числом рабочих станций для установки на них вредоносного ПО, но данная стратегия оказалась ошибочной и во многих случаях системы просто переустанавливали с использованием резервной копии, не платя выкуп. Теперь стратегия злоумышленников изменилась и они нацелились на поражение в первую очередь корпоративных серверных систем, и особенно централизованных систем хранения, в том числе работающих под управлением Linux.
Opennet
