Спецпроекты

Безопасность

В трояне-шифровальщике для ОС Linux есть дыра, позволяющая жертвам вернуть свои файлы, не заплатив ни копейки

Специалисты по информационной безопасности изучили недавно обнаруженный Linux-вариант вируса-шифровальщика известной группировки кибервымогателей Clop. Как выяснилось, он имеет массу недостатков, которых лишена его более зрелая версия для Windows-систем. Эти недостатки позволили экспертам очень быстро подготовить простой и универсальный инструмент для восстановления зашифрованных в результате атаки файлов. Он доступен уже в течение нескольких месяцев и дает возможность пострадавшим от действий злоумышленников ничего не платить Clop.

Уязвимый шифровальщик

Специалисты в области информационной безопасности из компании SentinelLabs выявили ряд изъянов Linux-версии вируса-шифровальщика известной вымогательской группировки Clop. Они позволяют жертвам вредоноса сравнительно легко восстановить собственные файлы, не заплатив злоумышленникам ни копейки. Инструменты, обеспечивающие расшифровку данных, «обработанных» вредоносным ПО Clop доступны в течение нескольких последних месяцев. Об этом сообщило издание Bleeping Computer.

Вариант шифровальщика Clop, нацеленного на серверы под управлением операционных систем семейства Linux, впервые был обнаружен в декабре 2022 г. специалистом SentinelLabs Антонисом Терефосом (Antonis Terefos). Первой известной целью Linux-версии вируса стала инфраструктура одного из университетов Колумбии. В атаке на нее также применялся и Windows-вариант вредоносной программы.

Как отмечает Bleeping Computer, Windows- и Linux-версии шифровальщика Clop во многом схожи: обе используют идентичный метод шифрования и в них заложена практически одинаковая логика действий. Тем не менее между ними есть и несколько существенных отличий, в основном обусловленных разницей в API операционных систем. Версия для Linux пока отстает от своего Windows-собрата по имеющейся функциональности.

Шифровальщик группировки Clop для Linux оказался полным недостатков

Рассчитанное на целевые системы под управлением Linux вымогательское ПО Clop находится на раннем этапе разработки, и ему, с точки зрения злоумышленника, недостает качественной обфускации (запутывания кода) и надежных механизмов защиты от обнаружения. Кроме того, вредонос просто кишит уязвимостями, использование которых дает жертвам атак с его участием вернуть себе доступ к ранее утраченным файлам без выплаты выкупа, отмечает издание.

Цель – серверы баз данных Oracle

Исполняемый файл (ELF) шифровальщика Clop для Linux при запуске порождает новый процесс, который пытается добиться повышения собственных привилегий в системе до уровня, позволяющего осуществить шифрование данных.

Файлы и директории, входящие в сферу интересов вредоноса, могут располагаться в домашнем каталоге рядовых пользователей (“/home”), суперпользователя (“/root”), каталоге “/opt”, предназначенном для размещения дополнительного ПО, каталогах Oracle (“/u01”-“/u04”), в которых хранятся файлы баз данных Oracle или использующиеся в качестве точек монтирования для ПО Oracle.

Нацеленность именно на БД Oracle является нетипичной для вирусов-шифровальщиков под Linux – они, как правило, стремятся установить контроль над файлами виртуальных машин VMware под управлением гипервизора ESXi.

В Linux-версии, в отличие от Windows-варианта, также не реализован алгоритм хэширования, который позволяет вередоносу отсеивать определенные типы файлов и не тратить ресурсы на их шифрование. Отсутствует в нем и механизм, позволяющий по-разному обрабатывать файлы различного размера. Кроме того, программе недостает поддержки приема аргументов командной строки, которая могла бы обеспечить злоумышленнику более гибкое управление процессом шифрования данных.

Недостатки функциональности шифрования

В своем нынешнем виде Linux-вариант программы-вымогателя группировки Clop не шифрует ключи RC4 (Rivest cipher 4; поточный шифр) в то время, как в его более зрелой версии для Windows соответствующая мера предусмотрена – используется ассиметричный RSA-подобный алгоритм.

Вместо этого Linux-версией используется единственный заданный в коде «мастер-ключ» RC4, применяемый при генерации ключа шифрования для обработки данных жертвы и его же хранения в локальном файле в опять же зашифрованном «мастер-ключом» виде. Кроме того, вариант вредоноса Clop для проведения атак на Linux-системы не осуществляет валидацию ключа RC4 – в отличие от ситуации с Windows-версией.

Как поясняют эксперты по ИБ, при использовании подобной схемы необходимые криптографические ключи возможно извлечь, а ранее зашифрованные данные – откатить к исходному состоянию. SentinelLabs для этих целей предлагает собственноручно разработанный скрипт на языке Python (содержит всего 146 строк кода), который можно загрузить на хостинге проектов GitHub.

Ко всему прочему специалисты SentinelLabs обратили внимание на тот факт, что Linux-воплощение вируса при записи зашифрованного ключа в файл также добавляет туда некоторое количество дополнительной информации, такой как, к примеру, размер соответствующего файла и время шифрования. Сведения такого рода разработчикам следовало бы держать в тайне, поскольку они позволяют осуществить выборочное восстановление конкретных особо ценных файлов, отмечает Bleeping Computer.

Придется доработать

Вирус-вымогатель Clop для Linux вряд ли получит широкое распространение в текущем его виде, считают эксперты. Легкая доступность скрипта для дешифрования вынудит его авторов поработать над улучшением своего творения.

В разговоре с Bleeping Computer представитель SentinelLabs заявил, что компания передала разработанный ей инструмент для восстановления данных, правоохранительным органам, которые, в свою очередь, смогут оказать помощь пострадавшим от нового вредоноса Clop организациям.

Лучше плохой инструмент, чем его полное отсутствие

Применение Linux-варианта в атаках группировки Clop, несмотря на все его недостатки, по мнению специалистов по ИБ, свидетельствует о том, что злоумышленникам важно иметь хоть какой-то инструмент для воздействия на сегменты инфраструктуры под управлением ОС семейства Linux, чем не иметь его вовсе.

По данным Positive Technologies, число хакерских атак на Linux-системы в III квартале 2022 г. в мире увеличилось более чем в два раза по сравнению со II кварталом того же года. Доля инцидентов с участием Linux выросла с 12% до 30%.

Согласно аналитическому отчету «Лаборатории Касперского», только в заключительном квартале 2022 г. от целевых атак шифровальщиков пострадало не менее 730 организаций по всему миру. В числе наиболее активных группировок, принявших участие в атаках, – Clop.

Дмитрий Степанов

Короткая ссылка