[13/03/2023] SentinelLabs, una división de investigación de la empresa de ciberseguridad Sentinel One, ha identificado una nueva versión para Linux del ransomware IceFire que aprovecha una vulnerabilidad del software para compartir archivos Aspera Faspex de IBM.
El exploit es para CVE-2022-47986, una vulnerabilidad de Aspera Faspex parcheada recientemente.
El malware IceFire detectado por SentinelLabs utiliza una extensión iFire, lo que concuerda con un informe de febrero de MalwareHunterTeam -un grupo de investigadores independientes de ciberseguridad que analizan y rastrean amenazas- según el cual IceFire se está centrando en los sistemas empresariales Linux.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Al contrario de lo ocurrido en el pasado con las empresas tecnológicas, la variante Linux de IceFire atacó a empresas de medios de comunicación y entretenimiento.
Las tácticas de los atacantes son coherentes con las de las familias de ransomware de "caza mayor" (BGH), que implican doble extorsión, ataques contra grandes empresas, el uso de numerosos mecanismos de persistencia y tácticas de evasión como el borrado de archivos de registro, según el informe de SentinelLabs. La doble extorsión se produce cuando los atacantes roban datos además de cifrarlos, y suelen pedir un rescate que duplica el pago habitual.
Características de la variante IceFire Linux
La versión IceFire Linux es un archivo binario ELF (ejecutable y enlazable) de 2,18MB y 64 bits compilado con la colección de compiladores de código abierto GCC (GNU compiler collection) para la arquitectura de procesador de sistema AMD64. La carga útil también se ejecuta correctamente en distribuciones basadas en Intel de Ubuntu y Debian.
La versión de IceFire Linux se encontró desplegada contra hosts que ejecutaban CentOS, una distribución de Linux de código abierto, que ejecutaba una versión vulnerable del software de servidor de archivos IBM Aspera Faspex.
Utilizando este exploit, el sistema descargaba las cargas útiles de IceFire y las ejecutaba para cifrar archivos y renombrarlos con la extensión ".ifire", tras lo cual la carga útil estaba diseñada para borrarse a sí misma y evitar ser detectada.
La carga IceFire Linux está programada para excluir el cifrado de ciertos archivos y rutas críticos para el sistema, incluyendo las extensiones de archivo .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb, y p; y las rutas /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var, /run.
Esto se hizo para que las partes críticas de los sistemas no se cifraran y siguieran siendo operativas.
Otra nueva táctica observada en la variante IceFire Linux fue la explotación de una vulnerabilidad en lugar de la entrega tradicional a través de mensajes de phishing o pivotando a través de ciertos frameworks de terceros posteriores a la explotación, incluyendo Empire, Metaspoilt, Cobalt Strike.
La carga útil IceFire utiliza cifrado RSA, red Tor
Las cargas útiles de IceFire se alojan en el droplet de DigitalOcean, una máquina virtual alojada en la plataforma de computación en nube DigitalOcean que utiliza la dirección IP 159.65.217.216. SentinelLabs recomienda utilizar comodines en esta dirección IP de DigitalOcean en caso de que los actores cambien a un nuevo dominio de entrega. Por comodín se entiende el uso de un carácter comodín en una política de seguridad o regla de configuración para abarcar varios dispositivos.
La carga útil de IceFire utiliza un algoritmo de cifrado RSA con una clave pública RSA codificada en el binario. Además, la carga útil deja caer una nota de rescate desde un recurso incrustado en el binario y la escribe en cada directorio objetivo para el cifrado de archivos, añadió el informe.
El mensaje de petición de rescate de IceFire incluye un nombre de usuario y una contraseña predefinidos que deben utilizarse para acceder al sitio web de pago del rescate, que está alojado en un servicio oculto de Tor (los sitios web y servicios se alojan en la red descentralizada Tor para permitir la navegación anónima).
En comparación con Windows, Linux presenta más desafíos para el ransomware, especialmente a gran escala: muchos sistemas Linux son servidores, que son menos susceptibles a métodos de infección comunes como el phishing o las descargas drive-by. Por eso, los atacantes han recurrido a explotar vulnerabilidades en las aplicaciones, como demuestra el grupo de ransomware IceFire, que utilizó la vulnerabilidad IBM Aspera para desplegar sus cargas útiles.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú