Si bien tradicionalmente solo se dirigía a sistemas Windows, la nueva versión de Linux del ransomware IceFire explota una vulnerabilidad de uso compartido de archivos de IBM, Aspera Faspex, en sistemas corporativos.

Según apuntan desde SentinelLabs, esta nueva versión para Linux que han identificado del ransomware IceFire explota una vulnerabilidad en el software de intercambio de archivos Aspera Faspex de IBM.

En concreto, el exploit es para CVE-2022-47986, una vulnerabilidad de Aspera Faspex recientemente parcheada.

Si bien hasta ahora solo se dirigía a sistemas Windows, el malware IceFire usa una extensión iFire y, según un informe de febrero de MalwareHunterTeam, el grupo de investigadores de ciberseguridad independientes que analizan y rastrean amenazas, ahora está cambiando el enfoque a los sistemas empresariales Linux.

Contrariamente al comportamiento anterior cuando se dirigía a las empresas de tecnología, se ha observado que la variante Linux de IceFire ataca a las empresas de medios de comunicación y entretenimiento.

Las tácticas de los atacantes son consistentes con las de las familias de ransomware de «caza mayor», que implican doble extorsión, ataques contra grandes empresas, el uso de numerosos mecanismos de persistencia y tácticas de evasión. Entre otras, destaca la eliminación de archivos de registro.

Características de la variante IceFire para Linux

La versión de Linux de IceFire es un archivo binario ELF (ejecutable y enlazable) de 2,18 MB y 64 bits compilado con GCC (colección de compiladores GNU) de código abierto para la arquitectura del procesador del sistema AMD64. La carga útil también se ejecuta en distribuciones de Ubuntu y Debian basadas en Intel.

Los expertos también han descubierto que la versión de Linux de IceFire se implementó en hosts que ejecutaban CentOS, una distribución de Linux de código abierto que ejecutaba una versión vulnerable del software del servidor de archivos IBM Aspera Faspex.

Usando este exploit, el sistema descargaba las cargas útiles de IceFire y las ejecutaba para cifrar archivos y renombrarlos con la extensión «.ifire», después de lo que la carga útil se eliminaba automáticamente para evitar la detección.

La carga útil de IceFire Linux está programada para excluir el cifrado de ciertos archivos y rutas críticos del sistema, incluidas las extensiones de archivos .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc , .a, .so, .run, .env, .cache, .xmlb y p; y rutas /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var, /run.

Otra nueva táctica observada en la variante de IceFire Linux es la explotación de una vulnerabilidad en lugar de la entrega tradicional a través de mensajes de phishing o a través de ciertos marcos de terceros posteriores a la explotación, incluidos Empire, Metaspoilt, Cobalt Strike.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre