Троян, шифрующий файлы в ОС Windows, переключился на Linux-серверы
Критическая уязвимость в продуктах IBM открыла возможность для заражения корпоративных Linux-серверов шифровальщиками. Злоумышленники активно этим пользуются.
Смена репертуара
Шифровальщик IceFire, в прошлом специализировавшийся на атаках на системы на базе Windows, переключился на корпоративные серверы под Linux. Об этом сообщили исследователи компании SentinelOne.
Это стало возможным в первую очередь благодаря критической уязвимости десериализации, выявленной в файлообменном ПО IBMAsperaFaspex. Баг CVE-2022-47986 получил 9,8 баллов по шкале угроз CVSS. Благодаря ему становится возможен запуск произвольного кода в контексте AsperaFaspex.
Хотя CVE-индекс указывает, что уязвимость была обнаружена в 2022 г., информацию о ней компания IBM опубликовала в феврале 2023 г. Вскоре появился экспериментальный эксплойт. За этим последовали реальные атаки
Большая их часть была направлена на компании в Турции, Иране, Пакистане и ОАЭ. Такой выбор географического ареала нетипичен для шифровальных группировок.
Шифровальщик IceFire впервые был выявлен в марте 2022 г. экспертами компании MalwareHunterTeam. Первая информация о жертвах на собственном сайте одноименной группировки начала появляться в августе 2022 г.
Вариант, атакующий серверы, представляет собой 2,18-мегабайтный 64-битный файл ELF, устанавливающийся на хосты CentOS, на которых запущена уязвимая версия AsperaFaspex.
Любопытно, что вредонос избегает шифрования определенных путей — так, чтобы атакованная машина сохраняла базовую работоспособность.
Агентство по кибербезопасности и защите инфраструктуры США внесло CVE-2022-47986 в список активно эксплуатируемых уязвимостей, к устранению которых необходимо принимать срочные меры.
Больше усилий, больше отдачи
Установка шифровальщиков на Linux-серверы — более сложная процедура, чем атака на рабочие станции под Windows.
Как отметил старший эксперт по киберугрозам SentinelOne Алекс Деламот (Alex Delamotte), типичные векторы заражения, такие как фишинг или скрытые загрузки, в отношении серверов куда менее эффективны — по существу это атаки на людей.
Гораздо продуктивнее для злоумышленников использовать программные уязвимости. Так что критические ошибки в ПО — это вектор, который будет пользоваться у шифровальщиков заведомо высоким интересом.
Деламот также отметил, что IceFire — одна из группировок, которые в последнее время стали все более активно атаковать системы под Linux.
«Причина в том, что эти системы в большинстве своем — серверы, от которых критически зависит функционирование корпоративной цифровой инфраструктуры, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Их вывод из строя — катастрофа для атакуемой компании, соответственно, она охотнее пойдет на выплату выкупа, чем в случае атаки на системы под Windows. Явление не носит массовый характер лишь потому, что внедрить шифровальщик в Linux-системы сложнее, чем под Windows».