IceFire Ransomware explora o IBM Aspera Faspex para atacar redes corporativas baseadas em Linux

 

Uma cepa de ransomware baseada no Windows anteriormente conhecida como IceFire expandiu seu foco para atingir redes corporativas Linux pertencentes a várias organizações do setor de mídia e entretenimento em todo o mundo.

 

As invasões envolvem a exploração de uma vulnerabilidade de desserialização recentemente divulgada no software de compartilhamento de arquivos IBM Aspera Faspex ( CVE-2022-47986 , pontuação CVSS: 9,8), de acordo com a empresa de segurança cibernética SentinelOne.

 

“Essa mudança estratégica é um movimento significativo que os alinha com outros grupos de ransomware que também visam sistemas Linux”, disse Alex Delamotte, pesquisador sênior de ameaças do SentinelOne, em um relatório compartilhado com o The Hacker News.

 

A maioria dos ataques observados pelo SentinelOne foram direcionados contra empresas localizadas na Turquia, Irã, Paquistão e Emirados Árabes Unidos, países que normalmente não são alvo de equipes organizadas de ransomware.

 

O IceFire foi detectado pela primeira vez em março de 2022 pelo MalwareHunterTeam , mas não foi até agosto de 2022 que as vítimas foram divulgadas por meio de seu site de vazamento na dark web, de acordo com GuidePoint Security , Malwarebytes e NCC Group .

O ransomware binário direcionado ao Linux é um arquivo ELF de 2,18 MB e 64 bits instalado em hosts CentOS que executam uma versão vulnerável do software de servidor de arquivos IBM Aspera Faspex.

 

Também é capaz de evitar a criptografia de certos caminhos para que a máquina infectada continue operacional.

“Em comparação com o Windows, é mais difícil implantar ransomware contra o Linux, especialmente em escala”, disse Delamotte. "Muitos sistemas Linux são servidores: vetores de infecção típicos, como phishing ou download drive-by, são menos eficazes. Para superar isso, os atores recorrem à exploração de vulnerabilidades de aplicativos."

 

O desenvolvimento ocorre quando o Fortinet FortiGuard Labs divulgou uma nova campanha de ransomware LockBit empregando "tradecraft evasivo" para evitar a detecção por meio de contêineres .IMG que contornam as proteções Mark-of-the-Web ( MotW ).

Fontes

:thehackernews/bugsfighter