Le ransomware Icefire cible les systèmes d'entreprise Linux
Les chercheurs en cybersécurité de SentinelLabs ont découvert une nouvelle variante du ransomware Icefire, qui cible plus particulièrement les systèmes d'entreprise Linux.
SentinelLabs a été le premier à détecter ce logiciel malveillant, qui crypte les fichiers sur le système infecté et demande une rançon en échange de leur libération. Il est identifié comme CVE-2022-47986 dans la base de données Common Vulnerabilities and Exposures (CVE). Un attaquant pourrait exploiter cette faille pour exécuter un code arbitraire sur un système vulnérable.
Le ransomware Icefire est très sophistiqué et utilise toute une série de techniques pour éviter d'être détecté par les logiciels antivirus. On pense que le logiciel malveillant se propage par le biais de courriels d'hameçonnage et de téléchargements "drive-by". L'application logicielle vulnérable est largement utilisée et sa vulnérabilité est due à une mauvaise validation des entrées. L'exploitation réussie de cette vulnérabilité pourrait entraîner la compromission complète du système affecté.
Le logiciel malveillant IceFire détecté par SentinelLabs utilise une extension iFire, ce qui concorde avec un rapport de février de MalwareHunterTeam selon lequel IceFire se concentre désormais sur les systèmes d'entreprise Linux.
La version Linux d'IceFire a été découverte sur des hôtes utilisant CentOS, une distribution Linux à code source ouvert, et une version vulnérable du logiciel de serveur de fichiers IBM Aspera Faspex. Une autre tactique inédite observée dans la variante Linux d'IceFire a été l'exploitation d'une vulnérabilité plutôt que la diffusion traditionnelle via des messages d'hameçonnage ou le pivotement via certains cadres tiers post-exploitation tels qu'Empire, Metaspoilt et Cobalt Strike.
Selon le rapport des SentinelLabs, les tactiques des attaquants sont conformes à celles des familles de ransomware "big-game hunting" (BGH), qui impliquent une double extorsion, des attaques contre les grandes entreprises, l'utilisation de nombreux mécanismes de persistance et des tactiques d'évasion telles que la suppression des fichiers journaux. Lorsque les attaquants volent des données tout en les chiffrant, ils exigent généralement une rançon deux fois plus élevée que le paiement standard.
La version Linux d'IceFire (SHA-1 : b676c38d5c309b64ab98c2cd82044891134a9973) est un binaire ELF 64 bits de 2,18 Mo compilé avec gcc pour l'architecture AMD64. L'échantillon a été testé sur des distributions Ubuntu et Debian basées sur Intel ; IceFire a fonctionné avec succès sur les deux systèmes de test. Dans les intrusions observées, la version Linux a été déployée contre des hôtes CentOS utilisant une version vulnérable du logiciel de serveur de fichiers IBM Aspera Faspex. Le système a téléchargé deux charges utiles à l'aide de wget et les a enregistrées.
Lors de l'exécution, les fichiers sont cryptés et renommés avec l'extension ".ifire" ajoutée au nom du fichier. IceFire s'efface ensuite en supprimant le binaire. L'extension ".iFire" est alors ajoutée au nom du fichier. IceFire ignore les fichiers portant les extensions ".sh" et ".cfg".
Le ransomware IceFire ne chiffre pas tous les fichiers sous Linux : il évite de chiffrer certains chemins, de sorte que les parties critiques du système ne sont pas chiffrées et restent opérationnelles. Dans l'une des infections observées, le répertoire /srv était chiffré, de sorte que ces exclusions peuvent être ignorées de manière sélective.
Les sources de cet article comprennent un article paru dans CSOOnline.