La maggioranza dei ransomware colpisce Windows, essendo il sistema operativo più diffuso. I ricercatori di SentinelOne hanno notato che i cybercriminali hanno iniziato a prendere maggiormente di mira i sistemi Linux. Un recente attacco è stato effettuato con una versione di IceFire specifica per il famoso pinguino.
IceFire attacca IBM Aspera Faspex
IceFire è apparso circa un anno fa. I principali bersagli sono i computer Windows delle aziende tech. Dopo aver ottenuto l’accesso alla rete interna, il ransomware applica la crittografia ai file, aggiungendo l’estensione .ifire
al nome dei file. Il malware sfrutta diverse tecniche di offuscamento e vari meccanismi per la persistenza (avvio automatico). Se la vittima non paga il riscatto, i dati rubati vengono pubblicati online (doppia estorsione).
Gli attacchi più recenti sono stati effettuati contro aziende che operano nel settore dell’intrattenimento. La novità principale è rappresentata però dalla versione Linux. I cybercriminali hanno colpito computer con CentOS, sfruttando la vulnerabilità CVE-2022-47986 di IBM Aspera Fastex, un software per la condivisione dei file.
Anche in questo caso viene aggiunta l’estensione .ifire
. L’operazione di cifratura salta alcuni tipi di file (ad esempio quelli con estensione .sh
e .cfg
) e diverse directory (ad esempio /boot
) per mantenere operativo il sistema e quindi il ransomware in esecuzione.
In ogni directory viene copiato il file di testo con le istruzioni da seguire per il pagamento del riscatto. Sono presenti una coppia username/password che la vittima deve usare per l’accesso ad un sito Tor. Nonostante le minori probabilità di successo, i cybercriminali hanno incrementato gli attacchi contro i sistemi Linux. Molte gang hanno già sviluppato una versione Linux dei loro ransomware, tra cui BlackBasta, HelloKitty e Hive.