Una cepa de ransomware basada en Windows previamente conocida conocida como IceFire ha ampliado su enfoque para apuntar a redes empresariales Linux pertenecientes a varias organizaciones del sector de medios y entretenimiento en todo el mundo.
Las intrusiones implican la explotación de una vulnerabilidad de deserialización recientemente revelada en el software de intercambio de archivos IBM Aspera Faspex (CVE-2022-47986, puntuación CVSS: 9.8), según la compañía de ciberseguridad SentinelOne.
«Este cambio estratégico es un movimiento significativo que los alinea con otros grupos de ransomware que también se dirigen a los sistemas Linux», dijo Alex Delamotte, investigador senior de amenazas de SentinelOne, en un informe compartido con The Hacker News.
La mayoría de los ataques observados por SentinelOne se han dirigido contra empresas ubicadas en Turquía, Irán, Pakistán y los Emiratos Árabes Unidos, países que normalmente no son blanco de equipos organizados de ransomware.
IceFire fue detectado por primera vez en marzo de 2022 por MalwareHunterTeam, pero no fue hasta agosto de 2022 que las víctimas fueron publicadas a través de su sitio de fugas de la web oscura, según GuidePoint Security, Malwarebytes y NCC Group.
El binario ransomware dirigido a Linux es un archivo ELF de 2,18 MB y 64 bits que se instala en hosts CentOS que ejecutan una versión vulnerable del software de servidor de archivos IBM Aspera Faspex.
También es capaz de evitar cifrar ciertas rutas para que la máquina infectada continúe funcionando.
«En comparación con Windows, Linux es más difícil de implementar ransomware, particularmente a escala», dijo Delamotte. «Muchos sistemas Linux son servidores: los vectores de infección típicos como el phishing o la descarga drive-by son menos efectivos. Para superar esto, los actores recurren a la explotación de las vulnerabilidades de las aplicaciones».
El desarrollo se produce cuando Fortinet FortiGuard Labs reveló una nueva campaña de ransomware LockBit que emplea «naves comerciales evasivas» para evitar la detección a través de . Contenedores IMG que omiten las protecciones de Mark of The Web (MotW).
Fuente: https://thehackernews.com
