Clop fidye yazılımının ilk Linux varyantı, vahşi doğada tespit edildi, ancak işlemi tersine çevirmeyi mümkün kılan hatalı bir şifreleme algoritmasına sahip.
SentinelOne araştırmacısı Antonis Terefos, “ELF yürütülebilir dosyası, kilitli dosyaların şifresini fidye ödemeden çözmeyi mümkün kılan kusurlu bir şifreleme algoritması içeriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
sahip olduğu siber güvenlik firması, şifre çözücü kullanıma sunuldu26 Aralık 2022’de ELF sürümünü gözlemlediğini söylerken, aynı şifreleme yöntemini kullandığında Windows tadıyla benzerliklerine de dikkat çekti.
Tespit edilen örneğin, aynı sıralarda Kolombiya’daki La Salle Üniversitesi de dahil olmak üzere eğitim kurumlarını hedef alan daha büyük bir saldırının parçası olduğu söyleniyor. Üniversite, suç örgütünün sızıntı sitesine Ocak 2023’ün başlarında eklendi. FalconFeedsio.
2019’dan beri aktif olduğu bilinen Clop (Cl0p olarak stilize edilmiştir) fidye yazılımı operasyonu, Haziran 2021’de, kod adı Cyclone Operasyonu olan uluslararası bir yasa uygulama operasyonunun ardından çeteyle bağlantılı altı kişinin tutuklanmasıyla büyük bir darbe aldı.
Ancak siber suç grubu bir “patlayıcı ve beklenmedik” 2022’nin başlarında geri dönüş, endüstriyel ve teknoloji dikeylerini kapsayan düzinelerce kurban olduğunu iddia ediyor.
SentinelOne, Windows muadilinde bulunan bazı işlevlerin eksik olması nedeniyle Linux sürümünü erken aşama bir sürüm olarak nitelendirdi.
Bu özellik eşliği eksikliği, kötü amaçlı yazılım yazarlarının yalnızca Windows sürümü üzerinden taşıma yapmak yerine özel bir Linux yükü oluşturmayı seçmeleri gerçeğiyle de açıklanıyor, bu da Clop’un gelecekteki varyantlarının bu boşlukları kapatabileceğini düşündürüyor.
Terefos, “Bunun bir nedeni, tehdit aktörünün şu anda VirusTotal’daki 64 güvenlik motorunun tümü tarafından algılanmaması nedeniyle şaşırtmayı veya kaçmayı iyileştirmek için zaman ve kaynak ayırmaya ihtiyaç duymamış olması olabilir.”
Linux sürümü, orijinal dosyaları tehdit aktörlerine ödeme yapmadan kurtarmak için kullanılabilecek sabit kodlanmış bir ana anahtar içeren fidye yazılımı ile şifreleme için belirli klasörleri ve dosya türlerini ayırmak üzere tasarlanmıştır.
Gelişme, diğer platformları hedeflemek için Windows’un ötesine giderek daha fazla girişimde bulunan tehdit aktörlerinin artan bir eğilimine işaret ediyor.
“Cl0p’nin Linux-çeşitli varyasyonu şu anda emekleme aşamasında olsa da, geliştirilmesi ve Linux’un sunucularda ve bulut iş yüklerinde neredeyse her yerde kullanılması, savunucuların gelecekte daha fazla Linux hedefli fidye yazılımı kampanyası görmeyi beklemeleri gerektiğini gösteriyor.” Terefos dedi.