El grupo de ransomware Clop utiliza una variante de malware que se dirige explícitamente a los servidores Linux. Sin embargo, un error en el algoritmo de cifrado ha permitido que las víctimas de este ransomware hayan podido recuperar sus archivos de forma gratuita durante meses.

Esta nueva versión para Linux de Clop se detectó en diciembre de 2022 por un investigador de SentinelLabs después de que el grupo de ransomware lo utilizara junto con la variante de Windows en un ataque contra una universidad en Colombia.

Si bien es muy similar a la versión de Windows, ya que ambos usan el mismo método de cifrado y una lógica de proceso casi idéntica, todavía hay algunas diferencias. Estas se limitan, principalmente, a la API del sistema operativo y las funciones que aún esperan ser implementadas en la variante de Linux.

Y es que este ransomware para Linux, Clop, está en una fase de desarrollo temprano y contiene numerosos errores que hacen posible que las víctimas puedan recuperar sus archivos sin tener que pagar ningún rescate a los delincuentes.

Clop, un ransomware orientado a servidores de bases de datos Oracle

El ejecutable de Linux (ELF) del ransomware Clop crea un nuevo proceso al iniciarse, que intenta elevar los permisos a un nivel que permitiría el cifrado de datos.

Los archivos y carpetas a los que se dirige incluyen el directorio «/home» del usuario, que contiene todos los archivos personales, el directorio «/root», «/opt». Pero también lleva a los directorios de Oracle («/u01» – «/u04»), utilizados para almacenar archivos de base de datos o como puntos de montaje para el software de Oracle.

Ransomware Linux Clop esquema error cifrado datos ciberseguridad noticia bit life media
Fuente: SentinelLabs

El objetivo específico de las carpetas de la base de datos de Oracle no es algo que se acostumbre a ver en los cifrados de ransomware de Linux, que generalmente se enfocan en cifrar máquinas virtuales ESXi.

En este caso, esta variante de Linux también carece de soporte para el algoritmo ‘hash’, utilizado por la versión de Windows para a la hora de excluir ciertos tipos de archivos y carpetas del cifrado. Además, no existe un mecanismo para tratar archivos de varios tamaños de manera diferente en Linux.

Otras características que no están presentes en la versión Linux de Clop son la ausencia de enumeración de unidades, lo que ayudaría a encontrar el punto de partida para cifrar carpetas, y los parámetros de la línea de comandos para proporcionar un control adicional sobre el proceso de cifrado.

Bit Life Media ciberataques

Defectos de cifrado

La versión actual de Linux tampoco cifra las claves RC4 utilizadas para el cifrado de archivos con el algoritmo asimétrico basado en RSA utilizado en la variante de Windows.

Sin embargo, sí utiliza una «clave maestra» RC4 codificada para generar las claves de cifrado y, posteriormente, utiliza la misma clave para cifrarla y almacenarla localmente en el archivo. Además, la clave RC4 nunca se valida, mientras que, en Windows, se valida antes de iniciar el cifrado.

Este débil esquema no protege las claves para que no se recuperen libremente ni se invierta el cifrado. Además de esta falta de seguridad de la clave, SentinelLabs también descubrió que cuando la clave cifrada se escribe en un archivo, el malware también escribe algunos datos adicionales, como detalles sobre el archivo tales como su tamaño y el tiempo de cifrado.

Por todo ello, los expertos de SentinelLabs apuntan que es poco probable que esta versión de Clop para Linux se convierta en una amenaza generalizada en su forma actual. El lanzamiento de un descifrador probablemente llevará a sus autores a lanzar versiones mejoradas con un esquema de cifrado adecuado.

De momento, desde esta firma han compartido su descifrador con la policía para ayudar a las víctimas a recuperar sus archivos.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre