Com as empresas a usar um ambiente misto de servidores Windows e Linux, os criminosos sentiram a necessidade de expandir as suas vagas de ransomware também aos sistemas Linux, de forma a comprometerem e danificarem dados sensíveis em todas as plataformas na rede comprometida.
Num relatório da Kaspersky, é demostrado que o ransomware Exx também conhecido por Defrat777 foi agora atualizado também para atacar servidores Linux.
RansomExx tem recebido muito destaque devido a ataques in-the-wild contra as redes do governo do Brasil e ataques anteriores contra o Departamento de Transporte do Texas (TxDOT), Konica Minolta, IPG Photonics e Tyler Technologies.
De acordo com a Kaspersky, ao impactar servidores Linux, os operadores do RansomExx implantam um executável ELF chamado ‘svc-new’ usado para cifrar o servidor alvo.
“After the initial analysis we noticed similarities in the code of the Trojan, the text of the ransom notes and the general approach to extortion, which suggested that we had in fact encountered a Linux build of the previously known ransomware family RansomEXX,” Kaspersky researchers stated in their report.
No ELF file estão hardcoded a chave criptográfica RSA-4096 usada para cifrar o dispositivo alvo, a nota de resgate e a extensão usada para renomear os ficheiros danificados.
Durante a sua análise, a equipa de investigadores da Kaspersky encontrou ainda nomes de ficheiros e detalhes deixados no código do malware referentes a uma versão de debug.
Comparando as versões Windows e Linux deste ransomware, é também possível encontrar similaridades óbvias no código apesar das alterações realizadas pelos compiladores durante o processo de construção dos binários maliciosos.
Como ja mencionado, algumas organizações foram impactadas por esta ameaça. Uma das últimas organizações foi o Superior Tribunal de Justiça (aka STJ) do Brasil.
“A Domain Admin account was exploited which allowed the hacker to have access to our servers, to enter into administration groups of the virtual environment and, finally, encrypt a good part of our virtual machines,” as one of the IT technicians told O Bastidor.
Segundo os autores do ransomware, se a vítima pagar o resgate, ela irá receber um executável Linux e Windows com a chave privada RSA-4096 correspondente para recuperar os ficheiros danificados.
Durante o ataque a infraestrutura da vítima, os operadores do RansomExx comprometem as redes das vítimas e exfiltram documentos confidenciais enquanto efetuam movimentação na infraestrutura.
Assim que o controlador de domínio do Windows é comprometido, eles disseminam o ransomware por toda a infraestrutura para finalizar a cadeia de comprometimento e lançam o ransomExx para cifrar todos os devices registados no AD.