IceFire olarak bilinen, önceden bilinen Windows tabanlı bir fidye yazılımı türü, odak noktasını dünya çapında çeşitli medya ve eğlence sektörü kuruluşlarına ait Linux kurumsal ağlarını hedef alacak şekilde genişletti.
Siber güvenlik şirketi SentinelOne’a göre izinsiz girişler, IBM Aspera Faspex dosya paylaşım yazılımında (CVE-2022-47986, CVSS puanı: 9.8) yakın zamanda açıklanan bir seri durumdan çıkarma güvenlik açığından yararlanmayı gerektiriyor.
SentinelOne’da kıdemli tehdit araştırmacısı Alex Delamotte, The Hacker News ile paylaştığı bir raporda, “Bu stratejik değişim, onları Linux sistemlerini de hedefleyen diğer fidye yazılımı gruplarıyla aynı hizaya getiren önemli bir harekettir” dedi.
SentinelOne tarafından gözlemlenen saldırıların çoğu, genellikle organize fidye yazılımı ekipleri tarafından hedeflenmeyen Türkiye, İran, Pakistan ve BAE’de bulunan şirketlere yöneliktir.
IceFire ilk olarak Mart 2022’de Kötü Amaçlı Yazılım Avcısı Ekibiancak GuidePoint Security, Malwarebytes ve NCC Group’a göre kurbanlar, karanlık web sızıntı sitesi aracılığıyla Ağustos 2022’ye kadar duyurulmadı.
Linux’u hedefleyen fidye yazılımı ikili dosyası, IBM Aspera Faspex dosya sunucusu yazılımının savunmasız bir sürümünü çalıştıran CentOS ana bilgisayarlarına yüklenen 2,18 MB 64 bitlik bir ELF dosyasıdır.
Ayrıca, virüslü makinenin çalışmaya devam etmesi için belirli yolları şifrelemekten kaçınma yeteneğine de sahiptir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Delamotte, “Windows ile karşılaştırıldığında, Linux’a karşı fidye yazılımı dağıtmak daha zordur – özellikle geniş ölçekte,” dedi. “Pek çok Linux sistemi sunucudur: kimlik avı veya zorla indirme gibi tipik bulaşma vektörleri daha az etkilidir. Bunun üstesinden gelmek için, aktörler uygulama güvenlik açıklarından yararlanmaya yönelirler.”
Bu gelişme, Fortinet FortiGuard Labs’in, Mark of The Web (MotW) korumalarını atlayan .IMG kapsayıcıları yoluyla tespit edilmekten kaçınmak için “kaçınmalı ticaret” kullanan yeni bir LockBit fidye yazılımı kampanyasını açıklamasının ardından geldi.