Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El ransomware Icefire se dirige a sistemas empresariales Linux
Obanla Opeyemi
24 de marzo de 2023 - Equipo de expertos TuxCare
Investigadores de ciberseguridad de SentinelLabs descubrieron una nueva variante del ransomware Icefire, con un enfoque específico en los sistemas empresariales Linux.
SentinelLabs fue el primero en detectar el malware, que cifra los archivos del sistema infectado y exige un rescate por su liberación. Está identificado como CVE-2022-47986 en la base de datos Common Vulnerabilities and Exposures (CVE). Un atacante podría aprovechar este fallo para ejecutar código arbitrario en un sistema vulnerable.
El ransomware Icefire es muy sofisticado y emplea diversas técnicas para evitar ser detectado por los antivirus. Se cree que el malware se propaga a través de correos electrónicos de phishing y drive-by downloads. La aplicación de software vulnerable se utiliza ampliamente, y es vulnerable debido a una validación de entrada incorrecta. La explotación exitosa de esta vulnerabilidad podría comprometer por completo el sistema afectado.
El malware IceFire detectado por SentinelLabs utiliza una extensión iFire, lo que coincide con un informe de febrero de MalwareHunterTeam según el cual IceFire se está centrando en los sistemas empresariales Linux.
La versión de IceFire Linux se descubrió ejecutándose en hosts que funcionaban con CentOS, una distribución de Linux de código abierto, y que ejecutaban una versión vulnerable del software de servidor de archivos IBM Aspera Faspex. Otra táctica novedosa observada en la variante IceFire Linux fue la explotación de una vulnerabilidad en lugar de la entrega tradicional a través de mensajes de phishing o pivotando a través de ciertos frameworks de terceros post-explotación como Empire, Metaspoilt y Cobalt Strike.
Según el informe de SentinelLabs, las tácticas de los atacantes coinciden con las de las familias de ransomware de "caza mayor" (BGH), que implican doble extorsión, ataques contra grandes empresas, el uso de numerosos mecanismos de persistencia y tácticas de evasión como el borrado de archivos de registro. Cuando los atacantes roban datos a la vez que los cifran, suelen exigir un rescate que duplica el pago estándar.
La versión de IceFire para Linux (SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973) es un binario ELF de 2,18 MB y 64 bits compilado con gcc para la arquitectura AMD64. La muestra se probó en distribuciones basadas en Intel de Ubuntu y Debian; IceFire se ejecutó con éxito en ambos sistemas de prueba. En las intrusiones observadas, la versión Linux se desplegó contra hosts CentOS que ejecutaban una versión vulnerable del software de servidor de archivos IBM Aspera Faspex. El sistema descargó dos cargas útiles mediante wget y las guardó.
Al ejecutarse, los archivos se cifran y se renombran con la extensión ".ifire" añadida al nombre del archivo. A continuación, IceFire se borra eliminando el binario. La extensión ".iFire" se añade al nombre del archivo. IceFire omite los archivos con extensiones ".sh" y ".cfg".
El ransomware IceFire no cifra todos los archivos en Linux: evita cifrar ciertas rutas, de modo que las partes críticas del sistema no se cifran y siguen siendo operativas. En una infección observada, se cifró el directorio /srv, por lo que estas exclusiones pueden anularse selectivamente.
Las fuentes de este artículo incluyen un artículo en CSOOnline.
