Dado que las empresas suelen utilizar un entorno mixto de servidores Windows y Linux, las operaciones de ransomware han comenzado cada vez más a crear versiones Linux de su malware para asegurarse de que cifran todos los datos críticos.
Un nuevo informe de Kaspersky de hoy analiza la versión de Linux del ransomware RansomExx, también conocido como Defray777.
RansomExx ha recibido mucha atención esta semana debido a sus ataques en curso contra las redes gubernamentales de Brasil y los ataques anteriores contra el Departamento de Transporte de Texas (TxDOT), Konica Minolta, IPG Photonics y Tyler Technologies.
Versión para Linux de RansomExx
Según Kaspersky, cuando se dirigen a servidores Linux, los operadores de RansomExx implementarán un ejecutable ELF llamado ‘svc-new’ que se utiliza para cifrar el servidor de una víctima.
“Después del análisis inicial, notamos similitudes en el código del troyano, el texto de las notas de rescate y el enfoque general de la extorsión, lo que sugería que de hecho habíamos encontrado una versión de Linux de la familia de ransomware anteriormente conocida RansomEXX”, investigadores de Kaspersky declaró en su informe.
Incrustado en el ejecutable de Linux hay una clave de cifrado pública RSA-4096, la nota de rescate y una extensión con el nombre del cliente que se agregará a todos los archivos cifrados.
A diferencia de la versión de Windows, Kaspersky afirma que la versión de Linux es un ransomware sencillo. No contiene ningún código para terminar procesos, incluido el software de seguridad, no borra el espacio libre como lo hace la versión de Windows y no se comunica con un servidor de comando y control.
Si una víctima paga el rescate, recibirá un descifrador de Linux y Windows con la clave privada RSA-4096 correspondiente y la extensión de archivo cifrado incrustada en el ejecutable.
La versión de Linux se llama ‘decryptor64’ y es un descifrador controlado por línea de comandos, como se muestra a continuación.
Fabian Wosar, el CTO de la firma de ciberseguridad Emsisoft, le dijo a BleepingComputer que vio por primera vez a RansomExx utilizando una versión de Linux en ataques en julio de 2020, pero que puede haber sido usado antes.
RansomExx no es el primer ransomware que crea versiones de Linux. En el pasado, Pysa (Menispoza), Snatch y PureLocker también han distribuido variantes de Linux.
Fuente: Bleeping Computer
