La primera variante de Linux del ransomware Clop se detectó en la naturaleza, pero con un algoritmo de cifrado defectuoso que hizo posible la ingeniería inversa del proceso.
“El ejecutable ELF contiene un algoritmo de cifrado defectuoso que permite descifrar archivos bloqueados sin pagar el rescate”, dijo el investigador de SentinelOne, Antonis Terefos. dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad, que ha puso a disposición un descifradordijo que observó la versión ELF el 26 de diciembre de 2022, al tiempo que señaló sus similitudes con el sabor de Windows cuando se trata de usar el mismo método de cifrado.
Se dice que la muestra detectada es parte de un ataque más grande dirigido a instituciones educativas en Colombia, incluida la Universidad La Salle, más o menos al mismo tiempo. La universidad se agregó al sitio de fuga del grupo criminal a principios de enero de 2023, según HalcónFeedsio.
Conocido por haber estado activo desde 2019, la operación de ransomware Clop (estilizado como Cl0p) sufrió un gran golpe en junio de 2021 cuando seis personas afiliadas a la pandilla fueron arrestadas luego de una operación internacional de aplicación de la ley cuyo nombre en código es Operación Ciclón.
Pero el grupo de ciberdelincuencia escenificó un “explosivo e inesperado” regreso a principios de 2022, cobrando docenas de víctimas que abarcan verticales industriales y tecnológicos.
SentinelOne caracterizó la versión de Linux como una versión de etapa temprana debido al hecho de que faltan algunas funciones que están presentes en su contraparte de Windows.
Esta falta de paridad de funciones también se explica por el hecho de que los autores del malware han optado por crear una carga útil de Linux personalizada en lugar de simplemente transferir la versión de Windows, lo que sugiere que las futuras variantes de Clop podrían cerrar esas brechas.
“Una razón para esto podría ser que el actor de amenazas no ha necesitado dedicar tiempo y recursos para mejorar la ofuscación o la evasión debido al hecho de que actualmente no los detectan los 64 motores de seguridad en VirusTotal”, explicó Terefos.
La versión de Linux está diseñada para seleccionar carpetas y tipos de archivos específicos para el cifrado, y el ransomware contiene una clave maestra codificada que se puede utilizar para recuperar los archivos originales sin pagar a los atacantes.
En todo caso, el desarrollo apunta a una tendencia creciente de actores de amenazas que se aventuran cada vez más más allá de Windows para apuntar a otras plataformas.
“Si bien la variación de Cl0p con sabor a Linux está, en este momento, en su infancia, su desarrollo y el uso casi omnipresente de Linux en servidores y cargas de trabajo en la nube sugiere que los defensores deberían esperar ver más campañas de ransomware dirigidas a Linux en el futuro”. Dijo Terefos.
About the Author
