SentinelLabs, una división de investigación de la compañía de seguridad cibernética Sentinel One, identificó una nueva versión para Linux del ransomware IceFire que explota una vulnerabilidad en el software de intercambio de archivos Aspera Faspex de IBM.
El exploit es para CVE-2022-47986una vulnerabilidad de Aspera Faspex parcheada recientemente.
Conocido hasta ahora como objetivo solo de los sistemas Windows, el malware IceFire detectado por SentinelLabs utiliza una extensión iFire, de acuerdo con un informe de febrero de MalwareHunterTeam, un grupo de investigadores independientes de ciberseguridad que analizan y rastrean amenazas, que IceFire está cambiando el enfoque a los sistemas empresariales Linux.
Contrariamente al comportamiento anterior dirigido a las empresas de tecnología, se observó que la variante Linux de IceFire atacaba a las empresas de medios y entretenimiento.
Las tácticas de los atacantes son consistentes con las de las familias de ransomware de «caza mayor» (BGH), que implican doble extorsión, ataques contra grandes empresas, el uso de numerosos mecanismos de persistencia y tácticas de evasión como la eliminación de archivos de registro, según el Informe de SentinelLabs. La doble extorsión ocurre cuando los atacantes roban datos y los cifran y, por lo general, piden un rescate que es el doble del pago habitual.
Características de la variante IceFire Linux
La versión de Linux de IceFire es un archivo binario ELF (ejecutable y enlazable) de 2,18 MB y 64 bits compilado con GCC (colección de compiladores GNU) de código abierto para la arquitectura del procesador del sistema AMD64. La carga útil también se ejecuta correctamente en distribuciones de Ubuntu y Debian basadas en Intel.
Se descubrió que la versión de Linux de IceFire se implementó en hosts que ejecutaban CentOS, una distribución de Linux de código abierto, que ejecutaba una versión vulnerable del software del servidor de archivos IBM Aspera Faspex.
Usando este exploit, el sistema descargó las cargas útiles de IceFire y las ejecutó para encriptar archivos y renombrarlos con la extensión «.ifire», después de lo cual la carga útil fue diseñada para eliminarse a sí misma para evitar la detección.
La carga útil de IceFire Linux está programada para excluir el cifrado de ciertos archivos y rutas críticos del sistema, incluidas las extensiones de archivos .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc , .a, .so, .run, .env, .cache, .xmlb y p; y rutas /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var, /run.
Esto se hizo para que las partes críticas de los sistemas no estén encriptadas y permanezcan operativas.
Otra nueva táctica observada en la variante de IceFire Linux fue la explotación de una vulnerabilidad en lugar de la entrega tradicional a través de mensajes de phishing o pivote a través de ciertos marcos de terceros posteriores a la explotación, incluidos Empire, Metaspoilt, Cobalt Strike.
IceFire Payload utiliza encriptación RSA, red Tor
Las cargas útiles de IceFire están alojadas en el droplet de DigitalOcean, una máquina virtual alojada en la plataforma de computación en la nube de DigitalOcean que utiliza la dirección IP 159.65.217.216. SentinelLabs recomienda usar comodín esta dirección IP de Digital Ocean en caso de que los actores cambien a un nuevo dominio de entrega. Los comodines se refieren al uso de un carácter comodín en una política de seguridad o regla de configuración para cubrir varios dispositivos.
La carga útil de IceFire utiliza un algoritmo de cifrado RSA con una clave pública RSA codificada en binario. Además, la carga útil suelta una nota de rescate de un recurso incrustado en el binario y la escribe en cada directorio destinado al cifrado de archivos, agregó el informe.
El mensaje de solicitud de rescate de IceFire incluye un nombre de usuario y una contraseña predefinidos que deben usarse para acceder al sitio web de pago del rescate, que está alojado en un servicio oculto Tor (los sitios web y los servicios están alojados en la red Tor descentralizada para permitir la navegación anónima).
En comparación con Windows, Linux presenta más desafíos para el ransomware, especialmente a gran escala: muchos sistemas Linux son servidores, que son menos susceptibles a los métodos de infección comunes como el phishing o las descargas ocultas. Esta es la razón por la que los atacantes han recurrido a la explotación de vulnerabilidades en las aplicaciones, como lo demuestra el grupo de ransomware IceFire, que utilizó la vulnerabilidad de IBM Aspera para implementar sus cargas útiles.
Derechos de autor © 2023 IDG Communications, Inc.
Relacionado:
Los investigadores descifraron silenciosamente las claves del ransomware Zeppelin – Krebs on Security
