La banda de ransomware Hive ahora también cifra Linux y FreeBSD utilizando nuevas variantes de malware desarrolladas específicamente para estas plataformas.
Sin embargo, como descubrió la firma eslovaca de seguridad en Internet ESET, los nuevos cifradores de Hive aún están en desarrollo y aún carecen de funcionalidad.
La variante de Linux también demostró ser bastante defectuosa durante el análisis de ESET, y el cifrado falló por completo cuando el malware se ejecutó con una ruta explícita.
También viene con soporte para un solo parámetro de línea de comando (-no-wipe). Por el contrario, el ransomware de Windows de Hive viene con hasta 5 opciones de ejecución, que incluyen eliminar procesos y omitir la limpieza del disco, archivos poco interesantes y archivos más antiguos.
La versión de Linux del ransomware tampoco activa el cifrado si se ejecuta sin privilegios de root porque intenta dejar caer la nota de rescate en los sistemas de archivos raíz de los dispositivos comprometidos.
«Al igual que la versión de Windows, estas variantes están escritos en Golang, pero las cuerdas, los nombres de paquetes y nombres de funciones se han ofuscado, probablemente con gobfuscate,» ESET Research Labs dijo .
El ransomware ahora está interesado en servidores Linux
Hive , un grupo de ransomware activo desde al menos junio de 2021 , ya ha atacado a más de 30 organizaciones, contando solo a las víctimas que se negaron a pagar el rescate.
Son solo una de las muchas bandas de ransomware que han comenzado a apuntar a servidores Linux después de que sus objetivos empresariales hayan migrado lentamente a máquinas virtuales para una administración de dispositivos más fácil y un uso más eficiente de los recursos.
Al apuntar a las máquinas virtuales, los operadores de ransomware también pueden cifrar varios servidores a la vez con un solo comando.
En junio, los investigadores detectaron un nuevo cifrador Linux de ransomware REvil diseñado para apuntar a máquinas virtuales VMware ESXi, una popular plataforma de máquinas virtuales empresariales.
El CTO de Emsisoft, Fabian Wosar, dijo a BleepingComputer que otros grupos de ransomware, como Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide y Hellokitty también han creado sus propios cifradores de Linux.
«La razón por la que la mayoría de los grupos de ransomware implementaron una versión basada en Linux de su ransomware es apuntar específicamente a ESXi», dijo Wosar.
Los encriptadores de Linux del ransomware HelloKitty y BlackMatter fueron descubiertos más tarde en la naturaleza por investigadores de seguridad en julio y agosto , lo que confirma la declaración de Wosar.
Un mes después, se descubrió que algunas de estas cepas de malware de Linux también tienen errores y podrían dañar los archivos de las víctimas durante el cifrado.
En el pasado, las operaciones de ransomware Snatch y PureLocker también han utilizado variantes de Linux en sus ataques.
Fuente: https://www.bleepingcomputer.com/
