Son haftalarda, bilgisayar korsanları “IceFire” fidye yazılımını Linux kurumsal ağlarına karşı konuşlandırıyor; bu, bir zamanlar yalnızca Windows’a yönelik bir kötü amaçlı yazılım olan şey için kayda değer bir değişiklik.

A SentinelOne’dan rapor Bugün yayınlanan rapor, bunun filizlenen bir eğilimi temsil edebileceğini öne sürüyor. Fidye yazılımı aktörleri, son haftalarda ve aylarda siber saldırılarda Linux sistemlerini her zamankinden daha fazla hedef alıyor. Dark Reading’i anlatır.

Peki, eğer Linux işlerini zorlaştırıyorsa, fidye yazılımı aktörleri neden giderek daha fazla ona doğru ilerliyor?

IceFire MO

IceFire, ilk kez geçtiğimiz Mart ayında keşfedildi. BGH fidye yazılımı, “büyük işletmeleri hedefleyen, çok sayıda kalıcılık mekanizması kullanan ve günlük dosyalarını silerek analizden kaçan çifte gasp” ile karakterize edilir.

Ancak IceFire bir zamanlar yalnızca Windows tabanlı bir kötü amaçlı yazılım iken, son saldırıları Linux tabanlı kurumsal ağlara karşı gerçekleşti.

Saldırı akışı basittir. Bir hedef ağı ihlal eden IceFire saldırganları, hedef makinelerdeki tüm değerli veya ilginç verilerin kopyalarını çalar. Ancak o zaman şifreleme gelir. Delamotte, IceFire’ın öncelikle aradığı şeyin kullanıcı ve paylaşılan dizinler olduğunu, çünkü bunların önemli ancak “dosya sisteminin yazma veya değiştirme için yükseltilmiş ayrıcalıklar gerektirmeyen korumasız parçaları” olduğunu açıkladı.

Ancak saldırganlar dikkatli. “IceFire fidye yazılımı, Linux’taki tüm dosyaları şifrelemez: Belirli yolların şifrelenmesinden kaçınır, böylece sistemin kritik bölümleri şifrelenmez ve çalışır durumda kalır.”

IceFire, şifrelenmiş dosyaları bir “.ifire” uzantısıyla etiketler, o zamandan beri birçok BT yöneticisinin kendileri için keşfettiği gibi. Ayrıca otomatik olarak gösterişsiz bir fidye notu bırakır – “Tüm önemli dosyalarınız şifrelendi. Dosyalarınızı geri yüklemeye yönelik tüm girişimler…” Not, kurbanın saldırganlara oturum açmak için kullanabileceği, sabit kodlanmış benzersiz bir kullanıcı adı ve şifre içerir. Tor tabanlı fidye ödeme portalı. İş tamamlandığında, IceFire kendini siler.

IceFire Nasıl Değişiyor?

Bu ayrıntıların çoğu, IceFire’ın sahneye ilk girişinden bu yana tutarlı kaldı. Ancak son haftalarda mağduriyet de dahil olmak üzere bazı önemli detaylar değişti.

IceFire’ın bir zamanlar sağlık, eğitim ve teknoloji sektörlerine yönelik kampanyalarda kullanıldığı yerlerde, son saldırılar başta İran, Pakistan, Türkiye, Birleşik Arap Emirlikleri ve benzeri Orta Doğu ülkeleri olmak üzere eğlence ve medya kuruluşlarına odaklandı.

IceFire’ın MO’sundaki diğer değişiklikler, işletim sisteminin Linux’a kaymasından kaynaklanmaktadır. Örneğin, SentinelOne geçmişte şunları kaydetti: siber saldırganlar IceFire’ı kimlik avı yoluyla dağıtırdı ve mızraklı kimlik avı e-postaları, ardından yayılmasına yardımcı olması için Metasploit ve Cobalt Strike gibi üçüncü taraf, pen-test araçlarını kullanın.

Ancak “birçok Linux sistemi sunucudur,” diye belirtiyor Delamotte, “bu nedenle kimlik avı veya arabayla indirme gibi tipik enfeksiyon vektörleri daha az etkilidir.” Bunun yerine, son IceFire saldırıları CVE-2022-47986 — IBM Aspera veri aktarım hizmetinde CVSS derecesi 9,8 olan kritik bir uzaktan kod yürütme (RCE) güvenlik açığı.

Hackerlar Neden Linux’u Hedefliyor?

Delamotte, son zamanlarda daha fazla fidye yazılımı aktörünün Linux’u seçmesinin birkaç nedenini öne sürüyor. Her şeyden önce, “Linux tabanlı sistemler, veritabanlarını barındırma, Web sunucuları ve diğer görev açısından kritik uygulamalar gibi önemli görevleri gerçekleştirmek için kurumsal ortamlarda sıklıkla kullanılır. Sonuç olarak, bu sistemler genellikle fidye yazılımı aktörleri için daha değerli hedeflerdir. tipik bir Windows kullanıcısına kıyasla, başarılı bir saldırıdan kaynaklanan daha büyük bir ödeme olasılığına.”

İkinci bir faktör, diye tahmin ediyor, “bazı fidye yazılımı aktörleri, Linux’u daha yüksek bir yatırım getirisi sağlayabilecek, yararlanılmamış bir pazar olarak algılayabilirler.”

Son olarak, “kurum ortamlarında konteynerleştirme ve sanallaştırma teknolojilerinin yaygınlığı, fidye yazılımı aktörleri için potansiyel saldırı yüzeyini genişletti” diyor. Bu teknolojilerin çoğu Linux tabanlıdır, bu nedenle “fidye yazılımı grupları” düşük asılı meyve “tedariğini tükettikçe, muhtemelen bu daha yüksek çaba hedeflerine öncelik vereceklerdir.”

Birincil sebep ne olursa olsun, daha fazla tehdit aktörü aynı yolu izlerse, Linux tabanlı sistemler çalıştıran kuruluşların hazır olması gerekir.

Delamotte, fidye yazılımlarına karşı savunmanın “çok yönlü bir yaklaşım” gerektirdiğini söylüyor ve aynı anda görünürlük, eğitim, sigorta, çok katmanlı güvenlik ve yama uygulamaya öncelik veriyor.

“Kuruluşlar, siber güvenliğe proaktif bir yaklaşım benimseyerek fidye yazılımı saldırılarına karşı başarılı bir şekilde savunma şanslarını artırabilir” diyor.

09 Mart 2023Ravie LakshmananLinux / Uç Nokta Güvenliği

IceFire olarak bilinen, önceden bilinen Windows tabanlı bir fidye yazılımı türü, odak noktasını dünya çapında çeşitli medya ve eğlence sektörü kuruluşlarına ait Linux kurumsal ağlarını hedef alacak şekilde genişletti.

Siber güvenlik şirketi SentinelOne’a göre izinsiz girişler, IBM Aspera Faspex dosya paylaşım yazılımında (CVE-2022-47986, CVSS puanı: 9.8) yakın zamanda açıklanan bir seri durumdan çıkarma güvenlik açığından yararlanmayı gerektiriyor.

“Bu stratejik değişim, onları aynı hizaya getiren önemli bir harekettir. diğer Linux sistemlerini de hedefleyen fidye yazılım grupları,” SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte, söz konusu The Hacker News ile paylaşılan bir raporda.

SentinelOne tarafından gözlemlenen saldırıların çoğu, genellikle organize fidye yazılımı ekipleri tarafından hedeflenmeyen Türkiye, İran, Pakistan ve BAE’de bulunan şirketlere yöneliktir.

Buz Ateş tarafından ilk olarak Mart 2022’de tespit edildi. Kötü Amaçlı Yazılım Avcısı Ekibiancak Ağustos 2022’ye kadar kurbanlar halka duyuruldu göre, karanlık web sızıntı sitesi aracılığıyla Kılavuz Noktası Güvenliği, MalwarebytesVe NCC Grubu.

bu fidye yazılımı ikili Linux’u hedefleyen, IBM Aspera Faspex dosya sunucusu yazılımının savunmasız bir sürümünü çalıştıran CentOS ana bilgisayarlarına yüklenen 2,18 MB 64 bitlik bir ELF dosyasıdır.

Ayrıca, virüslü makinenin çalışmaya devam etmesi için belirli yolları şifrelemekten kaçınma yeteneğine de sahiptir.

Delamotte, “Windows ile karşılaştırıldığında, Linux’a karşı fidye yazılımı dağıtmak daha zordur – özellikle geniş ölçekte,” dedi. “Pek çok Linux sistemi sunucudur: kimlik avı veya zorla indirme gibi tipik bulaşma vektörleri daha az etkilidir. Bunun üstesinden gelmek için, aktörler uygulama güvenlik açıklarından yararlanmaya yönelirler.”

Geliştirme, Fortinet FortiGuard Labs olarak geliyor ifşa Mark of The Web (MotW) korumalarını atlayan .IMG kapsayıcıları aracılığıyla tespit edilmekten kaçınmak için “kaçamak ticaret” kullanan yeni bir LockBit fidye yazılımı kampanyası.