Isso marca a primeira vez que uma grande variedade de ransomware do Windows foi portada para o Linux para ajudar os hackers em suas intrusões direcionadas.

A empresa de segurança Kaspersky disse hoje que descobriu uma versão Linux do ransomware RansomEXX, marcando a primeira vez que uma grande variedade de ransomware do Windows foi portada para o Linux para ajudar em invasões direcionadas.

RansomEXX é uma cepa de ransomware relativamente nova que foi identificada pela primeira vez no início deste ano, em junho.

O ransomware foi usado em ataques contra o Departamento de Transportes do Texas , Konica Minolta , a empreiteira do governo dos EUA Tyler Technologies , o sistema de transporte público de Montreal e, mais recentemente, contra o sistema judiciário brasileiro (STJ) .

RansomEXX é o que os pesquisadores de segurança chamam de " caçador de grandes jogos " ou " ransomware operado por humanos ". Esses dois termos são usados ​​para descrever grupos de ransomware que perseguem grandes alvos em busca de grandes dias de pagamento, sabendo que algumas empresas ou agências governamentais não podem se dar ao luxo de ficar parados enquanto recuperam seus sistemas.

Esses grupos compram o acesso ou violam as redes, expandem o acesso a tantos sistemas quanto possível e, em seguida, implantam manualmente seu binário de ransomware como carga útil final para prejudicar o máximo possível da infraestrutura do alvo.

Mas, no último ano, houve uma mudança de paradigma na forma como esses grupos operam.

Muitas gangues de ransomware perceberam que atacar primeiro as estações de trabalho não é um negócio lucrativo, já que as empresas tendem a re-imagens dos sistemas afetados e seguir em frente sem pagar resgates.

Nos últimos meses, em muitos incidentes, algumas gangues de ransomware não se preocuparam em criptografar estações de trabalho e, em primeiro lugar, visaram servidores cruciais dentro da rede de uma empresa, sabendo que derrubando esses sistemas primeiro, as empresas não seriam capazes de acessar seus coletores de dados centralizados, mesmo se as estações de trabalho não foram afetadas.

A turma da RansomEXX que cria uma versão Linux de seu ransomware do Windows está em sintonia com a quantidade de empresas que operam hoje, com muitas empresas executando sistemas internos em Linux, e nem sempre em Windows Server.

Uma versão do Linux faz todo o sentido da perspectiva de um invasor; sempre procurando expandir e alcançar o máximo possível de infraestrutura central em sua busca para paralisar empresas e exigir resgates mais elevados.

O que vemos do RansomEXX pode em breve se tornar uma tendência definidora do setor, com outros grandes grupos de ransomware lançando suas versões do Linux no futuro também.

E, essa tendência parece já ter começado. De acordo com a empresa de segurança cibernética Emsisoft, além do RansomEXX, a gangue de ransomware Mespinoza (Pysa) também desenvolveu recentemente uma variante do Linux de sua versão inicial do Windows.

Mas o ransomware Linux também não é o único. Nos últimos anos, outras gangues de ransomware criaram variedades de ransomware do Linux também, como o grupo Snatch. No entanto, esses grupos eram operações de pequeno porte que dependiam de campanhas de spam para infectar as vítimas, raramente eram bem-sucedidas e não se envolviam em invasões direcionadas como a geração atual de grupos de ransomware que vemos hoje.

Emsisoft diz que as variantes do RansomEXX Linux que detectaram foram vistas já em julho. Configurar sistemas para detectar variantes do RansomEXX Linux não é uma estratégia sólida devido à maneira como as equipes de caçadores de ransomware operam. No momento em que os invasores implantam o ransomware, eles já possuem a maior parte da rede de uma empresa. A melhor estratégia que as empresas podem adotar contra esses tipos de invasões é proteger os perímetros da rede aplicando patches de segurança aos dispositivos de gateway e certificando-se de que eles não sejam configurados incorretamente com credenciais fracas ou padrão.

Detalhes técnicos sobre a variante RansomEXX Linux estão disponíveis no relatório Kaspersky.

Fonte: ZDNet