Новая версия опасного вымогателя для Windows (откроется в новой вкладке) Исследователи кибербезопасности обнаружили, что он был нацелен на устройства Linux.
Что еще более тревожно, так это то, что злоумышленники сделали «продуманный выбор», чтобы убедиться, что штамм Linux нацелен на правильные устройства и правильные уязвимости.
В пресс-релизе исследователи кибербезопасности из SentinelLabs подтвердили, что впервые увидели Linux-версию программы-вымогателя IceFire. Этот вариант получил название iFire и нацелен на уязвимость десериализации в программном обеспечении для обмена файлами IBM Aspera Faspex, отслеживаемую как CVE-2022-47986.
Охота на крупную дичь
Но это не единственное неожиданное изменение, касающееся IceFire. Исследователи также обнаружили злоумышленника, нацеленного на предприятия в сфере СМИ и развлечений в таких странах, как Турция, Иран, Пакистан и Объединенные Арабские Эмираты — странах, «которые, как правило, не являются объектом внимания организованных злоумышленников».
Вместо этого злоумышленники считали IceFire ориентированной на Windows группой угроз, занимающейся «охотой за крупной дичью» — нацеленными на крупные предприятия с помощью тактики двойного вымогательства, использования бесчисленных механизмов сохранения и уклонения от анализа путем удаления файлов журналов.
По сравнению с Windows, Linux является более сложной операционной системой для заражения программами-вымогателями, добавили исследователи, также заявив, что это особенно сложно осуществить в масштабе.
«Многие Linux-системы — это серверы, — говорят они. «Обычные векторы заражения, такие как фишинг или загрузка из машины, менее эффективны. Чтобы преодолеть это, участники обращаются к использованию уязвимостей приложений, как продемонстрировал оператор IceFire, развернув полезные нагрузки через уязвимость IBM Aspera».
Тем не менее, несмотря на проблемы, злоумышленники все чаще стремятся развернуть программы-вымогатели на устройствах с Linux, заключают исследователи, говоря, что эволюция IceFire — это просто еще один аргумент в пользу этого. По их словам, основа для программ-вымогателей, нацеленных на Linux, была заложена в 2021 году, но эта тенденция ускорилась в 2022 году, когда BlackBasta, Hive, Qilin, ViceSociety и другие начали атаковать и операционную систему.
