Недавно специалисты AO Kaspersky Lab обнаружили версию трояна RansomEXX для Linux. Это программа выполняет шифрование данных на диске, после чего требует выкуп для получения ключа расшифровки.
Первоначальный анализ кода этой вредоносной программы указывает на модификацию известного трояна для вымогательства RansomEXX, который ранее распространялся только на платформе Windows. Об этом свидетельствует очевидное сходство текстовых заметок о выкупе и общем подходе к вымогательству. Эта вредоносная программа была наиболее активна в начале 2020 года и печально известна атаками на крупные организации, такие как Министерство транспорта Техаса и Konica Minolta.
Образец исследуемой программы представляет собой 64-битный исполняемый файл ELF. Шифрование осуществляется с помощью функций из открытой библиотеки mbedtls. При запуске программа генерирует 256-битный ключ и использует его для шифрования всех файлов жертвы, до которых он может добраться, используя блочный шифр AES в режиме ECB. Каждый AES-ключ шифруется при помощи публичного ключа RSA-4096, встроенного в код вредоносного ПО, и прикрепляется к каждому зашифрованному файлу. Для расшифровки вымогатели предлагают купить у них закрытый ключ.
Ранее, ходе атаки на корпоративные сети злоумышленники стремились получить управление как можно большим числом рабочих станций для установки на них вредоносного ПО, но эта стратегия оказалась безрезультатной, поскольку во многих случаях системы просто переустанавливали с использованием резервных копий, не платя выкуп. Теперь стратегия злоумышленников нацелена на поражение корпоративных серверных систем, и особенно централизованных систем хранения, в том числе работающих под управлением ОС Linux.
Источник: AO Kaspersky Lab
