Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Icefire-Ransomware zielt auf Linux-Unternehmenssysteme
März 24, 2023 - TuxCare PR Team
Cybersecurity-Forscher von SentinelLabs haben eine neue Variante der Icefire-Ransomware entdeckt, die sich speziell auf Linux-Unternehmenssysteme konzentriert.
SentinelLabs war der erste, der die Malware entdeckte, die Dateien auf dem infizierten System verschlüsselt und ein Lösegeld für deren Freigabe fordert. Sie ist in der CVE-Datenbank (Common Vulnerabilities and Exposures) als CVE-2022-47986 gekennzeichnet. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen Code auf einem anfälligen System auszuführen.
Die Ransomware Icefire ist äußerst raffiniert und nutzt eine Vielzahl von Techniken, um die Erkennung durch Antiviren-Software zu umgehen. Es wird vermutet, dass die Malware über Phishing-E-Mails und Drive-by-Downloads verbreitet wird. Die anfällige Softwareanwendung ist weit verbreitet und aufgrund einer fehlerhaften Eingabevalidierung anfällig. Ein erfolgreiches Ausnutzen dieser Schwachstelle könnte zur vollständigen Kompromittierung des betroffenen Systems führen.
Die von SentinelLabs entdeckte IceFire-Malware verwendet eine iFire-Erweiterung, was mit einem Bericht des MalwareHunterTeam vom Februar übereinstimmt, wonach IceFire seinen Schwerpunkt auf Linux-Unternehmenssysteme verlagert.
Die IceFire-Linux-Variante wurde auf Hosts entdeckt, auf denen CentOS, eine Open-Source-Linux-Distribution, und eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software liefen. Eine weitere neuartige Taktik, die bei der IceFire-Linux-Variante beobachtet wurde, war die Ausnutzung einer Schwachstelle anstelle der traditionellen Verbreitung über Phishing-Nachrichten oder die Umleitung über bestimmte Frameworks von Drittanbietern wie Empire, Metaspoilt und Cobalt Strike nach der Ausnutzung.
Dem Bericht von SentinelLabs zufolge entspricht die Taktik der Angreifer derjenigen der "Big-Game-Hunting"-Ransomware-Familien, die doppelte Erpressung, Angriffe auf große Unternehmen, die Verwendung zahlreicher Persistenzmechanismen und Umgehungstaktiken wie das Löschen von Protokolldateien beinhalten. Wenn die Angreifer Daten stehlen und sie gleichzeitig verschlüsseln, verlangen sie in der Regel ein Lösegeld, das doppelt so hoch ist wie die Standardzahlung.
Die IceFire-Linux-Version (SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973) ist ein 2,18 MB großes 64-Bit-ELF-Binary, das mit gcc für die AMD64-Architektur kompiliert wurde. Das Beispiel wurde auf Intel-basierten Distributionen von Ubuntu und Debian getestet; IceFire lief erfolgreich auf beiden Testsystemen. Bei den beobachteten Angriffen wurde die Linux-Version auf CentOS-Hosts eingesetzt, auf denen eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software lief. Das System lud zwei Payloads mit wget herunter und speicherte sie.
Bei der Ausführung werden die Dateien verschlüsselt und umbenannt, wobei die Erweiterung ".ifire" an den Dateinamen angehängt wird. IceFire löscht sich dann selbst, indem es die Binärdatei entfernt. Anschließend wird die Erweiterung ".iFire" an den Dateinamen angehängt. IceFire überspringt die Dateien mit den Erweiterungen ".sh" und ".cfg".
Die IceFire-Ransomware verschlüsselt unter Linux nicht alle Dateien: Sie vermeidet die Verschlüsselung bestimmter Pfade, so dass kritische Teile des Systems nicht verschlüsselt werden und funktionsfähig bleiben. Bei einer beobachteten Infektion wurde das Verzeichnis /srv verschlüsselt, so dass diese Ausnahmen selektiv außer Kraft gesetzt werden können.
Zu den Quellen für diesen Beitrag gehört ein Artikel in CSOOnline.
