De IceFire-ransomware treft niet alleen Windows-systemen, maar nu ook op Linux gebaseerde systemen.
Volgens securityexperts van SentinelOne is de afgelopen weken voor het eerst een Linux-versie opgedoken van de IceFire-ransomware. Eerder waren alleen Windows-systemen het doelwit. De IceFire-ransomware werd voor het eerst in maart 2022 opgemerkt.
De IceFire-versie voor Linux dook op bij media- en entertainmentbedrijven, wat ook een verandering is. De Windows-versie richt zich vooral op het uitvoeren van ransomware-aanvallen op techbedrijven. En andere afwijking van de nieuwe ransomware-versie is dat vooral bedrijven in Turkije, Iran, Pakistan en de Verenigde Arabische Emiraten worden getroffen.
De algemene tactieken van de aanvallers met deze ransomware-variant zijn hetzelfde gebleven en in overeenstemming met andere ‘big-game hunting (BGH)’ ransomware. Denk hierbij aan double extortion, het gebruik van meerdere persistence-mechanismes en het vermijden van analyse door log files te deleten.
De securityonderzoekers van SentinelOne vermoeden dat de aanval afkomstig is van ransomware-groepen die eerder al Linux-varianten uitrolden. Denk aan BlackBasta, Hive, Qilin en Vice Society aka HelloKitty.
Aanvalstechniek
Volgens SentinelOne gebruiken de Linux-versie van de IceFire-ransomware de kwetsbaarheid CVE-2022-47986 als exploit. Deze kwetsbaarheid betreft een ‘deserialization’ kwetsbaarheid in de IBM Aspera Faspex file sharing software.
De IceFire Linux-versie is een 64-bit ELF binary van 2,18 MB die met gcc voor een AMD64-architectuur is gecompiled. SentinelOne heeft de Linux-versie ook positief getest voor onder meer de op Intel-processors gebaseerde Linux-distributies Ubuntu en Debian.
De ransomware-versie richt zich specifiek op CentOS gebaseerde hosts die een kwetsbare versie van de eerder genoemde IBM Aspera Faspex file server software draaien. Bij de infectie worden twee payloads gedownload.
Versleutelde bestanden
Wanneer de payloads worden uitgevoerd, worden bestanden versleuteld en krijgen daarbij de ifire-extensie. Daarna verwijdert de IceFire ransomware zichzelf door de binary te verwijderen.
Niet alle bestanden binnen Linux worden versleuteld. Verschillende paden worden expres vermeden, zodat de belangrijke onderdelen van het open-source besturingssysteem blijven werken.
Voor de bestrijding hebben de securityaanbieders nog geen oplossing beschikbaar. Wel ontdekten de specialisten van SentinelOne dat de payloads van de Linux-ransomwarevariant op een DigitalOcean droplet worden gehost met als IP-adres 159.65.217.216. Het URL-format hiervoor is bepaald op: hxxp[://]159.65.217.216:8080/(subdomain.domain.TLD|IP_Address)/iFire.
Securityexperts kunnen de IceFire payload URL’s ontdekken via de volgende expressie: http:\/\/159\.65\.217\.216:8080\/(([a-z]+\.){2}([a-z]+)|^((25[0-5]|(2[0-4]|1\d|[1-9]|)\d)\.?\b){4})\/iFire
Lees ook: WIP26-malware valt telecomoperators aan