Uma cepa de ransomware baseada no Windows conhecida anteriormente como IceFire expandiu seu foco para atingir redes corporativas Linux pertencentes a várias organizações do setor de mídia e entretenimento em todo o mundo.
As invasões envolvem a exploração de uma vulnerabilidade de desserialização recentemente divulgada no software de compartilhamento de arquivos IBM Aspera Faspex (CVE-2022-47986, pontuação CVSS: 9,8), de acordo com a empresa de segurança cibernética SentinelOne.
“Essa mudança estratégica é um movimento significativo que os alinha com outros grupos de ransomware que também visam sistemas Linux”, disse Alex Delamotte, pesquisador sênior de ameaças da SentinelOne, em um relatório compartilhado com o The Hacker News.
A maioria dos ataques observados pelo SentinelOne foram direcionados contra empresas localizadas na Turquia, Irã, Paquistão e Emirados Árabes Unidos, países que normalmente não são visados por equipes organizadas de ransomware.
O IceFire foi detectado pela primeira vez em março de 2022 pelo MalwareHunterTeam, mas não foi até agosto de 2022 que as vítimas foram divulgadas por meio de seu site de vazamento na dark web, de acordo com GuidePoint Security, Malwarebytes e NCC Group.
O binário de ransomware destinado ao Linux é um arquivo ELF de 2,18 MB e 64 bits instalado em hosts CentOS que executam uma versão vulnerável do software de servidor de arquivos IBM Aspera Faspex.
Também é capaz de evitar a criptografia de certos caminhos para que a máquina infectada continue operacional.
“Em comparação com o Windows, é mais difícil implantar ransomware contra o Linux, especialmente em escala”, disse Delamotte. “Muitos sistemas Linux são servidores: vetores de infecção típicos, como phishing ou download drive-by, são menos eficazes. Para superar isso, os atores recorrem à exploração de vulnerabilidades de aplicativos.”
O desenvolvimento ocorre quando o Fortinet FortiGuard Labs divulga uma nova campanha de ransomware LockBit empregando “tradecraft evasivo” para evitar a detecção por meio de contêineres .IMG que contornam as proteções Mark of The Web (MotW).
Fonte: TheHackerNews