Overslaan en naar de inhoud gaan

Linux onder vuur van Windows-ransomwarebende

Een vorig jaar opgekomen ransomwarebende breidt zijn bereik uit van Windows-systemen naar ook Linux-computers. De IceFire-bende heeft zijn malware voor versleuteling en afpersing uitgebracht in een Linux-uitvoering, waarmee het de afgelopen weken is binnengedrongen bij diverse organisaties in de media- en entertainmentindustrie wereldwijd.
Linux money
© Shutterstock
Shutterstock

Onderzoekers van securityleverancier SentinelOne hebben deze nieuwe Linux-ransomware waargenomen in de netwerken van verschillende media- en entertainmentbedrijven. De kwaadaardige software is daar binnen gekomen via een bekende kwetsbaarheid, die vorig jaar is ontdekt. Het gaat om een gat in de bestandsdelingssoftware Aspera Faspex van IBM.

Jaar oud gat

De bewuste kwetsbaarheid (CVE-2022-47986) is net iets meer dan een jaar geleden geopenbaard. Software- en Linux-leverancier IBM heeft er vorig jaar ook een patch voor uitgebracht. Versie 4.4.2 Patch Level 2 (PL2) van de Faspex-software heeft de onderliggende deserialization-fout niet meer, doordat de verouderde API-aanroep uit de software is verwijderd. Die PL2-update voor Faspex 4.4.2 pakt meerdere kwetsbaarheden aan.

In de praktijk is die patch niet overal toegepast, waar de IceFire-ransomware dus dankbaar gebruik van maakt. De gebruikte kwetsbaarheid maakt namelijk het op afstand uitvoeren van eigen code mogelijk, waardoor de ernst dan ook een CVSS-score van 9,8 heeft gekregen. De SentinelLabs-onderzoekers van SentinelOne melden nu in een nieuw rapport dat de Windows-gerichte focus van IceFire is uitgebreid naar ook Linux.

Linux-trend?

Daarmee gaan deze digitale afpersers mee in een bredere cybercrimebeweging; om ook Linux-systemen op de korrel te nemen. SentinelLabs noemt daarbij de beruchte Cl0p-ransomwarebende. Linux-malware van die aanvallers is eerder al ontdekt en blijkt een fout te bevatten waardoor slachtoffers zonder betaling hun gegijzelde gegevens en servers weer konden ontsleutelen.

IceFire mikt nu op systemen waarop IMB's Linux-distributie CentOS draait, met daarop dus de kwetsbare IBM-software voor het delen van bestanden. De onderzoekers van SentinelOne hebben de ontdekte ransomware ook getest op Linux-distributies Ubuntu en Debian: daar werkt deze kwaadaardige software net zo goed als op het van Red Hat afgeleide CentOS.

'Andere' landen

In tegenstelling tot de Windows-ransomware van IceFire, die via phishing-mails en dan exploitframeworks binnendringt, gebruikt de Linux-uitvoering dus direct een (extern bereikbare) kwetsbaarheid. Tot op heden geraakte bedrijven bevinden zich in landen die normaliter niet 'aandachtsgebieden' zijn voor ransomwarebendes: Turkije, Iran, Pakistan en de Verenigde Arabische Emiraten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in