Los investigadores de Kaspersky Lab han identificado una versión para Linux del malware ransomware «RansomEXX».
Inicialmente, RansomEXX se distribuyó solo en la plataforma Windows y se hizo famoso debido a varios incidentes importantes con la derrota de los sistemas de varias agencias y empresas gubernamentales, incluido el Departamento de Transporte de Texas y Konica Minolta.
RansomEXX cifra los datos en el disco y luego requiere un rescate para obtener la clave de descifrado.
El cifrado se organiza utilizando la biblioteca mbedtls de código abierto. Una vez lanzado, el malware genera una clave de 256 bits y la usa para cifrar todos los archivos disponibles utilizando el cifrado de bloque AES en modo ECB.
Posterior a ello, se genera una nueva clave AES cada segundo, es decir, diferentes archivos se cifran con diferentes claves AES.
Cada clave AES se cifra mediante una clave pública RSA-4096 incrustada en el código de malware y se adjunta a cada archivo cifrado. Para el descifrado, el ransomware ofrece comprarles una clave privada.
Una característica especial de RansomEXX es su uso en ataques dirigidos, durante los cuales los atacantes obtienen acceso a uno de los sistemas en la red a través del compromiso de vulnerabilidades o métodos de ingeniería social, luego de lo cual atacan otros sistemas e implementan una variante de malware especialmente ensamblada para cada infraestructura atacada, incluido el nombre de la empresa y cada uno de los diferentes datos de contacto.
Inicialmente, durante el ataque a las redes corporativas, los atacantes intentaron hacerse con el control de tantas estaciones de trabajo como fuera posible para instalar malware en ellas, pero esta estrategia resultó ser incorrecta y en muchos casos los sistemas simplemente se reinstalaron utilizando una copia de seguridad sin pagar el rescate.
Ahora la estrategia de los ciberdelincuentes ha cambiado y su objetivo era derrotar principalmente a los sistemas de servidores corporativos y especialmente a los sistemas de almacenamiento centralizados, incluidos los que ejecutan Linux.
Por lo tanto, no sería sorprendente ver que los operadores de RansomEXX han hecho que se convierta en una tendencia definitoria en la industria; otros operadores de ransomware también pueden implementar versiones de Linux en el futuro.
Recientemente, descubrimos un nuevo troyano de cifrado de archivos creado como un ejecutable ELF y destinado a cifrar datos en máquinas controladas por sistemas operativos basados en Linux.
Después del análisis inicial, notamos similitudes en el código del troyano, el texto de las notas de rescate y el enfoque general de la extorsión, lo que sugería que de hecho habíamos encontrado una compilación de Linux de la familia de ransomware anteriormente conocida RansomEXX. Este malware es conocido por atacar a grandes organizaciones y estuvo más activo a principios de este año.
RansomEXX es un troyano muy específico. Cada muestra del malware contiene un nombre codificado de la organización víctima. Además, tanto la extensión del archivo cifrado como la dirección de correo electrónico para contactar a los extorsionadores hacen uso del nombre de la víctima.
Y este movimiento parece haber comenzado ya. Según la firma de ciberseguridad Emsisoft, además de RansomEXX, los operadores detrás del ransomware Mespinoza (Pysa) también han desarrollado recientemente una variante de Linux a partir de su versión inicial de Windows. Según Emsisoft, las variantes de RansomEXX Linux que descubrieron se implementaron por primera vez en julio.
Esta no es la primera vez que los operadores de malware han considerado desarrollar una versión para Linux de su malware.
Por ejemplo, podemos citar el caso del malware KillDisk, que se había utilizado para paralizar una red eléctrica en Ucrania en 2015.
Esta variante hizo que «las máquinas Linux fueran imposibles de arrancar, después de haber cifrado los archivos y exigido un gran rescate». Tenía una versión para Windows y una versión para Linux, «que definitivamente es algo que no vemos todos los días», señalaron los investigadores de ESET.
Finalmente, si quieres conocer mas al respecto, puedes consultar los detalles de la publicación de Kaspersky.