IceFire ransomware ahora cifra los sistemas Linux y Windows

Los actores de amenazas vinculados a la operación de ransomware IceFire ahora apuntan activamente a los sistemas Linux en todo el mundo con un nuevo cifrado dedicado.

Los investigadores de seguridad de SentinelLabs descubrieron que la pandilla ha violado las redes de varios medios y organizaciones de entretenimiento de todo el mundo en las últimas semanas, a partir de mediados de febrero, según un informe compartido de antemano con BleepingComputer.

Una vez dentro de sus redes, los atacantes despliegan su nueva variante de malware para cifrar los sistemas Linux de las víctimas.

Cuando se ejecuta, IceFire ransomware cifra los archivos, agrega la extensión '.ifire' al nombre del archivo, y luego cubre sus pistas eliminándose y eliminando el binario.

También es importante tener en cuenta que IceFire no cifra todos los archivos en Linux. El ransomware evita estratégicamente cifrar rutas específicas, lo que permite que las partes críticas del sistema permanezcan operativas.

Este enfoque calculado está destinado a evitar un apagado completo del sistema, lo que podría causar daños irreparables y una interrupción aún más significativa.

Aunque activo desde al menos marzo de 2022 y en su mayoría inactivo desde finales de noviembre, el ransomware IceFire regresó a principios de enero en nuevos ataques, como lo demuestran las presentaciones en la plataforma ID-Ransomware.



Destino de IBM Aspera Faspex

Los operadores de IceFire explotan una vulnerabilidad de deserialización en el software de intercambio de archivos IBM Aspera Faspex (rastreado como CVE-2022-47986) para piratear los sistemas vulnerables de los objetivos y desplegar sus cargas útiles de ransomware.

Esta vulnerabilidad RCE previa a la autenticación de alta gravedad fue parcheada por IBM en enero y ha sido explotada en ataques desde principios de febrero [1, 2] después de que la firma de gestión de superficies de ataque Assetnote publicara un informe técnico que contenía código de explotación.

CISA también agregó la falla de seguridad a su catálogo de vulnerabilidades explotadas en la naturaleza en febrero de 2021, ordenando a las agencias federales que parcheen sus sistemas hasta el 14 de marzo.

"En comparación con Windows, es más difícil implementar ransomware contra Linux, particularmente a escala. Muchos sistemas Linux son servidores: los vectores de infección típicos como el phishing o la descarga drive-by son menos efectivos", dice SentinelLabs.

"Para superar esto, los actores recurren a la explotación de vulnerabilidades de aplicaciones, como lo demostró el operador de IceFire al implementar cargas útiles a través de una vulnerabilidad de IBM Aspera".

Shodan muestra más de 150 servidores Aspera Faspex expuestos en línea, la mayoría en los Estados Unidos y China.


La mayoría de las cepas de ransomware cifran los servidores Linux

El movimiento del ransomware IceFire para expandir la orientación de Linux después de centrarse previamente en atacar solo los sistemas Windows es un cambio estratégico que se alinea con otros grupos de ransomware que también han comenzado a atacar los sistemas Linux en los últimos años.

Su movimiento coincide con una tendencia en la que las empresas hicieron la transición a máquinas virtuales VMware ESXi con Linux, que cuentan con una administración de dispositivos mejorada y un manejo de recursos mucho más eficiente.

Después de implementar su malware en hosts ESXi, los operadores de ransomware pueden usar un solo comando para cifrar los servidores Linux de las víctimas en masa.

Si bien el ransomware IceFire no se dirige específicamente a las máquinas virtuales VMware ESXi, su cifrado de Linux es igual de eficiente, como lo demuestran los archivos cifrados de las víctimas enviados a la plataforma ID-Ransomware para su análisis.

"Esta evolución para IceFire fortalece que el ransomware dirigido a Linux continúa creciendo en popularidad hasta 2023", dice SentinelLabs.

"Si bien se sentaron las bases en 2021, la tendencia de ransomware de Linux se aceleró en 2022 cuando grupos ilustres agregaron cifradores de Linux a su arsenal".

Encriptadores similares han sido lanzados por muchas otras bandas de ransomware, incluyendo Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX y Hive.

El CTO de Emsisoft, Fabian Wosar, dijo anteriormente a BleepingComputer que otras bandas de ransomware (además de las que ya hemos informado), incluidas Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx / Defray y DarkSide, han desarrollado e implementado sus propios cifradores de Linux en ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta