Összegezve: a cikkben említett zsarolóprogram az IBM Aspera Faspex fájlcserélő rendszer hibáját használja ki a fertőzéshez. Az IBM Aspera Faspex hasonló a SendAnywhere-hez, azaz a kliens program feltölti egy IBM szerverre a küldendő fájlt, a címzettnek meg küld egy levelet a letöltési linkkel. Ha nem használod ezt a fájlcserélőt, akkor ez a fenyegetés nem érint, de az eset tanulsága az, hogy a Linux sajátosságainak köszönhetően ezek a férgek másként terjednek, mint a Windowst célzó változatok. Linux alatt konkrét alkalmazások hibáira építeni kényszerülnek a rosszfiúk, mivel a rendszer hibákat, amint kiderülnek, nagyon gyorsan javítják. Azaz, bármikor előfordulhat, hogy desktop rendszereken jellemző alkalmazást vesznek célba.
A cikkben nem desktop Linuxról van szó, a tanácsok, és az egész történet céges környezetről, szerver üzemeltetésről szól. Ugyanakkor érdemes átolvasni, biztonság tudatos számítógép használat témakörhöz ez is hozzá tartozik.
A korábban csak Windows rendszereket célzó IceFire ransomware új Linux-verzióját fedezték fel , amely az IBM Aspera Faspex fájlmegosztó sebezhetőségét (CVE-2022-47986) használja ki. Míg a Windows-verzió köztudottan technológiai cégeket céloz meg, az IceFire Linux ransomware változata a média- és szórakoztatóipari cégeket célozza meg.
A zsarolóprogramok üzemeltetőinek taktikái megegyeznek a „nagyvadvadászat (BGH)” zsarolóprogram-családokéval, amelyek nagyvállalatokat támadnak, kettős zsarolást, kijátszási technikákat, például naplófájlok törlését és számos perzisztencia mechanizmust alkalmaznak. A kettős zsarolás mindkettőt magában foglalja. az adatok ellopását és titkosítását, valamint a támadásokat, amelyek során tipikusan a szokásos fizetés dupláját követelik.
Az IceFire Linux Ransomware taktikája és főbb jellemzői
Az IceFire linuxos verziója egy 2,18 MB-os, 64 bites ELF (futtatható és linkelhető) bináris fájl, amelyet a nyílt forráskódú GCC-vel (GNU fordítógyűjtemény) fordítanak az AMD64 rendszerprocesszor architektúrához. A csomag sikeresen fut az Ubuntu és Debian Intel-alapú disztribúcióin is, és CentOS-t futtató gazdagépeken is telepítették.
Az érintett rendszerek letöltik az IceFire csomagokat, és végrehajtják azokat a fájlok titkosításához, és ennek során átnevezik azokat az „.ifire” kiterjesztéssel. Miután ez befejeződött, a csomag törli magát, hogy elkerülje az észlelést. Az IceFire Linux csomag úgy van megírva, hogy kizárja bizonyos rendszerkritikus fájlok és elérési utak titkosítását, beleértve a .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb és p; kiterjesztésű fájlokat és a következő elérési utakat /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var, /run. Így a rendszerek kritikus részei nincsenek titkosítva, és továbbra is működőképesek maradnak. Az IceFire Linux ransomware változatában megfigyelt másik meghatározó taktika a sebezhetőség kihasználása, szemben a Windows változat hagyományos, adathalász e-mailekkel történő kézbesítésével.vagy bizonyos már megfertőzött keretrendszereket kihasználva, például az Empire-en, a Metaspoilt-on és a Cobalt Strike-on történő terjedés.
Az IceFire Linux ransomware csomagja RSA titkosítási algoritmust használ, a binárisba tömörített RSA nyilvános kulccsal. A csomag a kódjába égetett váltságdíjról szóló szöveget generál és ezt minden fájltitkosításra megcélzott könyvtárba írja. A váltságdíj-jegyzet tartalmaz egy előre meghatározott felhasználónevet és jelszót, amelyet a váltságdíjfizetési webhely eléréséhez kell használni, amelyet egy Tor rejtett szolgáltatás tárol az anonimitás biztosítása érdekében.
A Linux biztonsági szakértője és a LinuxSecurity.com alapítója, Dave Wreski megjegyzi:
„A Linux nagyobb kihívást jelent a ransomware-üzemeltetők számára, mint a Windows, különösen nagy léptékben. Sok Linux rendszer kiszolgáló, amelyek kevésbé érzékenyek az olyan általános fertőzési módszerekre, mint az adathalászat vagy a irányított letöltések. Így a támadók az alkalmazások sebezhetőségeinek kihasználásához folyamodtak, amint azt a közelmúltban az IceFire ransomware csoportnál láthattuk.”
Hogyan védhetem meg Linux rendszereimet az IceFire Ransomware ellen?
Míg a Linuxot általában rendkívül biztonságos operációs rendszernek tekintik, amely biztonság terén felülmúlja mind a Windowst, mind a MacOS-t, a támadók egyre gyakrabban veszik célba a Linux rendszereket az operációs rendszer és az általa működtetett nagy értékű eszközök világszerte növekvő népszerűsége miatt. Ennek eredményeként kritikus fontosságú, hogy az adminisztrátorok és szervezetek megfelelő védelemmel rendelkezzenek a rosszindulatú programok , rootkitek és más rosszindulatú fenyegetések elleni védekezéshez, amelyekkel a Linux-felhasználók szembesülnek. Vali Cyber ZeroLockja az egyetlen fenyegetéskezelési platform, amelyről azt találtuk, hogy hatékonyan használja a prediktív elemzés észlelését a hagyományos biztonsági megoldásokat elkerülő ransomware támadások megállítására. Az olyan megoldások bevezetésén túl, mint a ZeroLock, amely gyorsan és megbízhatóan észleli és automatikusan orvosolja a Linux környezetet fenyegető összes fenyegetést, néhány további tipp és bevált gyakorlat a Linux ransomware elleni védekezéshez:
- Kövesse nyomon a biztonsági tanácsokat , hogy naprakész maradhasson a rendszerét érintő legújabb sebezhetőségekkel és a javításukra rendelkezésre álló frissítésekkel kapcsolatban.
- A LinuxSecurity felhasználóként való regisztráció , majd a Linux Advisory Watch hírlevelünkre való feliratkozás és a tanácsok testreszabása az Ön által használt disztribúció(k) számára kiváló módja annak, hogy naprakészen maradjon a rendszerei biztonságát befolyásoló legújabb, legjelentősebb problémákkal. Ezenkívül feltétlenül kövesse az @LS_Advisories oldalt a Twitteren, hogy valós idejű frissítéseket kapjon a disztribúció(i)hoz tartozó tanácsokról.
- A kritikus fájlokról készítsen biztonsági másolatot, és diverzifikálja az adathordozóit, hogy elkerülje az egyetlen hibapontot (SPOF). Ez nem akadályozza meg a támadást, de csökkentheti a lehetséges károkat.
- Használja a legkisebb jogosultság elvét a felhasználói fiókok számára.
- Kísérje figyelemmel a hálózati tevékenységet és a rendszernaplókat.
- Kövesse nyomon az eseménynaplókat, hogy azonosítsa a rendellenes viselkedést, mielőtt az kárt okozna.
- Használja az IP-szűrés, a behatolásérzékelő rendszer (IDS) és a behatolásgátló rendszer (IPS) kombinációját.
- Használjon Linux biztonsági bővítményeket, amelyek szabályozzák és korlátozzák az adatokhoz vagy hálózati erőforrásokhoz való hozzáférést.
- Robusztus hálózati szegmentálás és adatok felosztása ajánlott a lehetséges ransomware támadások hatásának minimalizálása érdekében.
- Rendszeresen ellenőrizze a rendszereket.
Wreski arra a következtetésre jut, hogy „a Linux ransomware egy komoly és egyre elterjedtebb fenyegetés, de szerencsére a támadások megelőzhetők megfelelő adminisztrációval, a megfelelő technológia bevezetésével és az ebben a cikkben ismertetett többi biztonsági bevált gyakorlattal.”
Ez a cikk a https://linuxsecurity.com/features/linux-icefire-ransomware címen megjelent cikk alapján készült.