Un ceppo di ransomware basato su Windows noto come IceFire, sta prendendo di mira le reti aziendali Linux appartenenti a diverse organizzazioni del settore dei media e dell’intrattenimento in tutto il mondo.
Le intrusioni comportano lo sfruttamento di una vulnerabilità di deserializzazione recentemente rivelata nel software di condivisione di file IBM Aspera Faspex (CVE-2022-47986, punteggio CVSS: 9.8), secondo la società di sicurezza informatica SentinelOne.
“Questo cambiamento strategico è una mossa significativa che li allinea con altri gruppi di ransomware che prendono di mira anche i sistemi Linux”, ha affermato Alex Delamotte, ricercatore senior sulle minacce presso SentinelOne, in un rapporto condiviso con The Hacker News.
IceFire è stato rilevato per la prima volta nel marzo 2022 dal MalwareHunterTeam , ma è stato solo nell’agosto 2022 che le vittime sono state pubblicizzate tramite il suo sito sul dark web, secondo GuidePoint Security , Malwarebytes e NCC Group .
Il ransomware binario che prende di mira Linux è un file ELF a 64 bit da 2,18 MB installato su host CentOS che eseguono una versione vulnerabile del software del file server IBM Aspera Faspex. Inoltre, è anche in grado di evitare di crittografare determinati percorsi in modo che la macchina infetta continui a essere operativa.
“Rispetto a Windows, Linux è più difficile da distribuire contro il ransomware, in particolare su larga scala”, ha affermato Delamotte. “Molti sistemi Linux sono server: i tipici vettori di infezione come il phishing o il download drive-by sono meno efficaci. Per ovviare a questo, gli attori si rivolgono allo sfruttamento delle vulnerabilità delle applicazioni”.
Gli esperti SentinelOne hanno osservato che la maggior parte degli attacchi è stata diretta contro società con sede in Turchia, Iran, Pakistan ed Emirati Arabi Uniti, paesi che non sono tipicamente presi di mira da squadre di ransomware organizzate.
https://thehackernews.com/2023/03/icefire-linux-ransomware.html
