ClickCease Descubierta una nueva variante del ransomware IceFire en Linux

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Descubierta una nueva variante del ransomware IceFire en Linux

Rohan Timalsina

30 de marzo de 2023 - Equipo de expertos TuxCare

Se ha descubierto una nueva variante del ransomware IceFire dirigida a sistemas Linux. En el pasado, sólo se había detectado en Windows. Este ransomware es conocido por dirigirse a empresas tecnológicas, mientras que en Linux parece dirigirse a empresas de medios de comunicación y entretenimiento.

Los operadores de ransomware atacan a grandes empresas y utilizan técnicas como la doble extorsión, métodos de evasión y mecanismos de persistencia. Con la doble extorsión, cifran los datos y los roban, y sus exigencias suelen ser el doble del pago típico.

 

Tácticas del ransomware IceFire Linux

La variante Linux del ransomware IceFire es un archivo binario ELF (ejecutable y enlazable) de 64 bits con un tamaño de 2,18 MB. Se compila utilizando la colección de compiladores de código abierto GCC (GNU compiler collection) para la arquitectura de procesador de sistema AMD64. La carga útil del ransomware es compatible con las distribuciones basadas en Intel de Ubuntu y Debian, y se ha observado que ataca a hosts que ejecutan CentOS.

El ransomware IceFire Linux emplea un algoritmo de cifrado RSA con una clave pública RSA codificada incrustada en el binario. Tras seleccionar un directorio para cifrar los archivos, la carga útil del ransomware deja una nota de rescate procedente de un recurso incrustado en el binario. Esta nota contiene un nombre de usuario y una contraseña predefinidos para acceder al sitio web de pago del rescate, que está alojado en un servicio oculto en Tor para garantizar el anonimato.

Cuando un sistema descarga y ejecuta las cargas útiles del ransomware IceFire, éstas cifran los archivos y añaden la extensión ".ifire" a sus nombres. Tras el cifrado, la carga útil está programada para borrarse a sí misma y evitar ser detectada.

Sin embargo, la versión para Linux del ransomware IceFire está específicamente diseñada para excluir del cifrado determinados archivos y rutas críticos, incluidas las extensiones de archivo .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb y p, así como rutas como /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var y /run. Esto garantiza que las partes críticas del sistema no se cifren, lo que permite que sigan siendo operativas.

 

Conclusión

Linux se considera un sistema operativo seguro que supera tanto a Windows como a macOS en materia de seguridad. Sin embargo, la creciente popularidad de Linux y los dispositivos de alto valor que alimenta en todo el mundo lo han convertido en un objetivo más atractivo para los atacantes. Por lo tanto, es crucial que los administradores y las organizaciones implementen las protecciones adecuadas para defenderse contra el malware, los rootkits y otras amenazas maliciosas a las que están expuestos los usuarios de Linux.

Existen varios consejos y medidas de seguridad que puedes seguir para proteger tu sistema operativo Linux. Por ejemplo, para reducir el riesgo de posibles daños, puedes hacer copias de seguridad de los archivos críticos y diversificar los medios de almacenamiento para evitar un único punto de fallo. Aunque este enfoque no evita un ataque, puede ayudar a reducir el impacto de cualquier daño potencial.

TuxCare ofrece KernelCare Enterprise como una solución de parcheado en vivo que aplica automáticamente los últimos parches de seguridad para varias distribuciones de Linux. Este proceso elimina la necesidad de reiniciar el sistema, lo que permite a las empresas mantenerse al día con los últimos parches sin tener que programar ningún tiempo de inactividad.

 

Las fuentes de este artículo incluyen un artículo de LinuxSecurity.

Resumen
Descubierta una nueva variante del ransomware IceFire en Linux
Nombre del artículo
Descubierta una nueva variante del ransomware IceFire en Linux
Descripción
Se ha descubierto una nueva variante del ransomware IceFire que tiene como objetivo sistemas Linux, principalmente empresas de medios de comunicación y entretenimiento.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín