Clop fidye yazılımının ilk Linux varyantı, vahşi doğada tespit edildi, ancak işlemi tersine çevirmeyi mümkün kılan hatalı bir şifreleme algoritmasına sahip.
SentinelOne araştırmacısı Antonis Terefos, The Hacker News ile paylaşılan bir raporda, “ELF yürütülebilir dosyası, kilitli dosyaların fidye ödemeden şifresini çözmeyi mümkün kılan kusurlu bir şifreleme algoritması içeriyor” dedi.
Bir şifre çözücüyü kullanıma sunan siber güvenlik firması, 26 Aralık 2022’de ELF sürümünü gözlemlediğini ve aynı şifreleme yöntemini kullandığında Windows tadıyla benzerliklerine dikkat çektiğini söyledi.
Tespit edilen örneğin, aynı sıralarda Kolombiya’daki La Salle Üniversitesi de dahil olmak üzere eğitim kurumlarını hedef alan daha büyük bir saldırının parçası olduğu söyleniyor. Üniversite, suç örgütünün sızıntı sitesine Ocak 2023’ün başlarında eklendi. FalconFeedsio.
2019’dan beri aktif olduğu bilinen Clop (Cl0p olarak stilize edilmiştir) fidye yazılımı operasyonu, Haziran 2021’de, kod adı Cyclone Operasyonu olan uluslararası bir yasa uygulama operasyonunun ardından çeteyle bağlantılı altı kişinin tutuklanmasıyla büyük bir darbe aldı.
Ancak siber suç grubu, 2022’nin başlarında “patlayıcı ve beklenmedik” bir geri dönüş düzenleyerek endüstriyel ve teknolojik sektörleri kapsayan düzinelerce kurban olduğunu iddia etti.
SentinelOne, Windows muadilinde bulunan bazı işlevlerin eksik olması nedeniyle Linux sürümünü erken aşama bir sürüm olarak nitelendirdi.
Bu özellik eşliği eksikliği, kötü amaçlı yazılım yazarlarının yalnızca Windows sürümü üzerinden taşıma yapmak yerine özel bir Linux yükü oluşturmayı seçmeleri gerçeğiyle de açıklanıyor, bu da Clop’un gelecekteki varyantlarının bu boşlukları kapatabileceğini düşündürüyor.
Terefos, “Bunun bir nedeni, tehdit aktörünün şu anda VirusTotal’daki 64 güvenlik motorunun tümü tarafından algılanmaması nedeniyle şaşırtmayı veya kaçmayı iyileştirmek için zaman ve kaynak ayırmaya ihtiyaç duymamış olması olabilir.”
Linux sürümü, orijinal dosyaları tehdit aktörlerine ödeme yapmadan kurtarmak için kullanılabilecek sabit kodlanmış bir ana anahtar içeren fidye yazılımı ile şifreleme için belirli klasörleri ve dosya türlerini ayırmak üzere tasarlanmıştır.
Gelişme, diğer platformları hedeflemek için Windows’un ötesine giderek daha fazla girişimde bulunan tehdit aktörlerinin artan bir eğilimine işaret ediyor.
“Cl0p’nin Linux-çeşitli varyasyonu şu anda emekleme aşamasında olsa da, geliştirilmesi ve Linux’un sunucularda ve bulut iş yüklerinde neredeyse her yerde kullanılması, savunucuların gelecekte daha fazla Linux hedefli fidye yazılımı kampanyası görmeyi beklemeleri gerektiğini gösteriyor.” Terefos dedi.