IceFire fidye yazılımı operasyonuyla bağlantılı tehdit aktörleri artık yeni bir özel şifreleyici ile dünya çapında aktif olarak Linux sistemlerini hedefliyor.
SentinelLabs güvenlik araştırmacıları, BleepingComputer ile önceden paylaşılan bir rapora göre, çetenin son haftalarda, Şubat ortasından başlayarak dünya çapında çeşitli medya ve eğlence kuruluşlarının ağlarını ihlal ettiğini keşfetti.
Saldırganlar, ağlarına girdikten sonra kurbanların Linux sistemlerini şifrelemek için yeni kötü amaçlı yazılım türevlerini kullanır.
Çalıştırıldığında, IceFire fidye yazılımı dosyaları şifreler, dosya adına ‘.ifire’ uzantısını ekler ve ardından kendisini silerek ve ikili dosyayı kaldırarak izlerini kapatır.
IceFire’ın Linux’taki tüm dosyaları şifrelemediğini de unutmamak gerekir. Fidye yazılımı stratejik olarak belirli yolları şifrelemekten kaçınarak kritik sistem parçalarının çalışır durumda kalmasına izin verir.
Bu hesaplanmış yaklaşım, onarılamaz hasara ve hatta daha önemli kesintilere neden olabilecek sistemin tamamen kapanmasını önlemeyi amaçlamaktadır.
En azından beri aktifken Mart 2022 ve Kasım ayının sonundan beri çoğunlukla etkin olmayan IceFire fidye yazılımı, ID-Ransomware platformundaki gönderimlerin gösterdiği gibi, Ocak ayı başlarında yeni saldırılarla geri döndü.
IBM Aspera Faspex hedefleme
IceFire operatörleri, hedeflerin savunmasız sistemlerine girmek ve fidye yazılımı yüklerini devreye almak için IBM Aspera Faspex dosya paylaşım yazılımındaki (CVE-2022-47986 olarak izlenen) bir seri kaldırma güvenlik açığından yararlanır.
Bu yüksek öneme sahip kimlik doğrulama öncesi RCE güvenlik açığı, Ocak ayında IBM tarafından yamalandı ve Şubat ayının başından bu yana saldırılarda istismar ediliyor. [1, 2] saldırıdan sonra yüzey yönetimi firması Assetnote, yararlanma kodunu içeren bir teknik rapor yayınladı.
CISA, Şubat 2021’de vahşi ortamda yararlanılan güvenlik açıkları kataloğuna güvenlik açığını da ekledi ve federal kurumlara 14 Mart’a kadar sistemlerini yamalama emri verdi.
SentinelLabs, “Windows ile karşılaştırıldığında, Linux’a karşı fidye yazılımı dağıtmak daha zordur, özellikle de geniş ölçekte. Birçok Linux sistemi sunucudur: kimlik avı veya arabayla indirme gibi tipik bulaşma vektörleri daha az etkilidir,” diyor SentinelLabs.
“Bunun üstesinden gelmek için, IceFire operatörünün bir IBM Aspera güvenlik açığı aracılığıyla yükleri konuşlandırarak gösterdiği gibi, aktörler uygulama güvenlik açıklarından yararlanmaya yöneliyor.”
Shodan, çoğu Amerika Birleşik Devletleri ve Çin’de olmak üzere çevrimiçi kullanıma sunulan 150’den fazla Aspera Faspex sunucusu gösteriyor.
Çoğu fidye yazılımı türü, Linux sunucularını şifreler
IceFire fidye yazılımının daha önce yalnızca Windows sistemlerine saldırmaya odaklandıktan sonra Linux hedeflemesini genişletme hamlesi, son yıllarda Linux sistemlerine de saldırmaya başlayan diğer fidye yazılımı gruplarıyla uyumlu stratejik bir değişimdir.
Hareketleri, işletmelerin gelişmiş cihaz yönetimi ve çok daha verimli kaynak işleme özelliğine sahip Linux destekli VMware ESXi sanal makinelerine geçiş yaptığı bir trendle eşleşiyor.
Fidye yazılımı operatörleri, kötü amaçlı yazılımlarını ESXi ana bilgisayarlarına dağıttıktan sonra, kurbanların Linux sunucularını toplu halde şifrelemek için tek bir komut kullanabilir.
IceFire fidye yazılımı, VMware ESXi VM’lerini özel olarak hedeflemese de, Linux şifreleyicisi, analiz için ID-Ransomware platformuna gönderilen kurbanların şifreli dosyalarının gösterdiği kadar verimlidir.
SentinelLabs, “IceFire için bu evrim, Linux’u hedef alan fidye yazılımlarının popülaritesinin 2023’e kadar artmaya devam edeceğini güçlendiriyor” diyor.
“Temel 2021’de atılırken, Linux fidye yazılımı trendi, 2022’de ünlü grupların cephaneliklerine Linux şifreleyicileri eklemesiyle hızlandı.”
Benzer şifreleyiciler, Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX ve Hive dahil olmak üzere diğer birçok fidye yazılımı çetesi tarafından piyasaya sürüldü.
Emsisoft CTO’su Fabian Wosar daha önce BleepingComputer’a Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx/Defray ve DarkSide dahil olmak üzere diğer fidye yazılımı çetelerinin (halihazırda rapor ettiklerimiz dışında) saldırılarda kendi Linux şifreleyicilerini geliştirip konuşlandırdıklarını söylemişti.