Вымогательское ПО IceFire атакует корпоративные сети на базе Linux

• 10 марта, 2023
• 19:30

Программа-вымогатель IceFire, ранее известная только в атаках на Windows-системы, расширила свою активность на корпоративные сети Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.

» data-html=»true» data-original-title=»Linux»>Linux. По данным компании SentinelOne — это американская компания, специализирующаяся на кибербезопасности. Она разрабатывает программное обеспечение для обнаружения и предотвращения кибератак на корпоративные сети.

» data-html=»true» data-original-title=»SentinelOne»>SentinelOne, занимающейся кибербезопасностью, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в программном обеспечении для обмена файлами IBM Aspera Faspex от IBM — это программное обеспечение для передачи файлов, которое позволяет пользователям безопасно и быстро обмениваться файлами любого размера и формата между удаленными местами.

» data-html=»true» data-original-title=»Aspera Faspex»>Aspera Faspex ( CVE-2022-47986 , оценка CVSS: 9,8).

Большинство атак, наблюдаемых SentinelOne, были направлены против компаний, расположенных в Турции, Иране, Пакистане и ОАЭ — странах, которые обычно не являются мишенью организованных групп вымогателей.

IceFire впервые был обнаружен в марте 2022 года командой MalwareHunterTeam — это команда исследователей безопасности, занимающаяся анализом и обнаружением вредоносного ПО. Они могут работать в рамках компании, частной лаборатории или как фрилансеры, и используют различные инструменты и техники для анализа вредоносных программ и уязвимостей в ПО. Результаты их работы публикуются и могут использоваться для улучшения безопасности ПК и сетей, а также для разработки защитных решений и патчей.

» data-html=»true» data-original-title=»Malwarehunterteam»>MalwareHunterTeam. Однако по данным GuidePoint Security — это американская компания, которая специализируется на предоставлении услуг по информационной безопасности для компаний и правительственных учреждений.
Компания предлагает своим клиентам широкий спектр услуг по информационной безопасности, таких как оценка уязвимостей, тестирование на проникновение, управление безопасностью, консультации, обучение и прочие услуги.

» data-html=»true» data-original-title=»GuidePoint Security»>GuidePoint Security, Malwarebytes — это американская компания, которая специализируется на создании и продаже программного обеспечения для борьбы с вредоносным ПО и киберугрозами.
Основной продукт компании — это антивирусное ПО Malwarebytes Anti-Malware, которое используется для обнаружения и удаления различных видов вредоносных программ, включая вирусы, трояны, черви, руткиты и другие угрозы.
Malwarebytes также предлагает другие продукты для защиты от киберугроз, такие как анти-эксплоиты, анти-вымогатели и т.п.

» data-html=»true» data-original-title=»Malwarebytes»>Malwarebytes и NCC Group – компания, занимающаяся обеспечением информационной безопасности, штаб-квартира которой находится в Манчестере, Великобритания.
В сферу ее услуг входит депонирование и проверка программного обеспечения, консалтинг в области кибербезопасности и управляемые услуги.
NCC Group обслуживает более 15 000 клиентов по всему миру.

» data-html=»true» data-original-title=»NCC Group»>NCC Group, о жертвах стало известно только в августе 2022 года через сайт утечки в даркнете.

Файл-записка с требованиями вымогателей

Сама программа-вымогатель, нацеленная на Linux, представляет из себя 64-разрядный файл формата «.elf», предназначенный для хостов CentOS, на которых запущена уязвимая версия программного обеспечения файлового сервера IBM Aspera Faspex. Вредонос шифрует каталоги выборочно, чтобы не нарушить работоспособность заражённой машины.

«Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, менее эффективны против них. Поэтому злоумышленники всё чаще прибегают к использованию уязвимостей приложений», — заявил Алекс Деламот, старший исследователь угроз в SentinelOne.