RansomExx Ransomware团伙正在通过创建能够感染Linux机器的新版本来扩展其业务。
RansomExx勒索软件运营商正在通过开发Linux版本的恶意软件来扩展其业务。
卡巴斯基的研究人员分析了Linux版本的RansomExx勒索软件,也被称为Defray777。
上周,RansomExx勒索软件已涉嫌对巴西高级法院的攻击。
RansomEXX是人为操作的勒索软件,这意味着攻击者在获得对目标网络的访问权限后便手动感染了系统。
2020年6月,对德州运输部的攻击中使用了相同的勒索软件 ; 8月,跨国技术公司 柯尼卡美能达(Konica Minolta)被该木马程序感染了系统;9月, IPG Photonics 高性能激光开发商和软件提供商 Tyler Technologies同样被该木马程序感染了该系统。
最近发现的RansomExx勒索软件的Linux版本是作为ELF可执行文件(名为“ svc-new”)构建的,该文件对目标服务器进行加密。
卡巴斯基发表的报告称:“经过初步分析,我们注意到木马程序的代码,勒索注释的文字和勒索的一般方法的相似之处,这表明我们实际上已经遇到了以前已知的勒索软件家族RansomEXX的Linux版本,”
启动木马程序后,它将生成一个256位密钥,该密钥用于使用ECB模式下的AES块密码对可以到达的所有受害者文件进行加密。AES密钥由嵌入在恶意软件代码中的公共RSA-4096密钥加密,并附加到所有加密文件中。
专家指出,勒索软件缺乏其他木马实现的其他功能,例如C2通信,反分析功能以及杀死进程的能力。
与Windows版本不同,Linux变体不会擦除可用空间。
专家注意到,当受害者支付赎金时,他们将同时获得Linux和Windows解密器,以及相应的RSA-4096私钥和嵌入在可执行文件中的加密文件扩展名。
尽管Windows和Linux变体是由具有不同优化选项和针对不同平台的不同编译器构建的,但它们的相似之处显而易见:
卡巴斯基的报告还包括新变种的危害指标(IoC)。
*编译:Domino
*来自:securityaffairs