Les acteurs de la menace liés à l’opération de rançongiciel IceFire ciblent désormais activement les systèmes Linux dans le monde entier avec un nouveau chiffreur dédié.
Les chercheurs en sécurité de SentinelLabs ont découvert que le gang avait pénétré les réseaux de plusieurs organisations de médias et de divertissement à travers le monde au cours des dernières semaines, à partir de la mi-février, selon un rapport partagé à l’avance avec Breachtrace.
Une fois à l’intérieur de leurs réseaux, les attaquants déploient leur nouvelle variante de malware pour chiffrer les systèmes Linux des victimes.
Lorsqu’il est exécuté, le rançongiciel IceFire crypte les fichiers, ajoute l’extension « .ifire » au nom de fichier, puis couvre ses traces en se supprimant et en supprimant le binaire.
Il est également important de noter qu’IceFire ne crypte pas tous les fichiers sous Linux. Le ransomware évite stratégiquement de crypter des chemins spécifiques, permettant aux parties critiques du système de rester opérationnelles.
Cette approche calculée vise à éviter un arrêt complet du système, qui pourrait causer des dommages irréparables et des perturbations encore plus importantes.
Bien qu’actif depuis au moins mars 2022 et pour la plupart inactif depuis fin novembre, le rançongiciel IceFire est revenu début janvier dans de nouvelles attaques, comme le montrent les soumissions sur la plateforme ID-Ransomware.
Ciblage IBM Aspera Faspex
Les opérateurs IceFire exploitent une vulnérabilité de désérialisation dans le logiciel de partage de fichiers IBM Aspera Faspex (suivi comme CVE-2022-47986) pour pirater les systèmes vulnérables des cibles et déployer leurs charges utiles de ransomware.
Cette vulnérabilité RCE de pré-authentification de haute gravité a été corrigée par IBM en janvier et a été exploitée dans des attaques depuis début février [1, 2] après que la société de gestion de surface d’attaque Assetnote a publié un rapport technique contenant un code d’exploitation.
La CISA a également ajouté la faille de sécurité à son catalogue de vulnérabilités exploitées dans la nature en février 2021, ordonnant aux agences fédérales de corriger leurs systèmes jusqu’au 14 mars.
« Par rapport à Windows, il est plus difficile de déployer des rançongiciels contre Linux, en particulier à grande échelle. De nombreux systèmes Linux sont des serveurs : les vecteurs d’infection typiques comme le phishing ou le téléchargement intempestif sont moins efficaces », explique SentinelLabs.
« Pour surmonter cela, les acteurs se tournent vers l’exploitation des vulnérabilités des applications, comme l’a démontré l’opérateur IceFire en déployant des charges utiles via une vulnérabilité IBM Aspera. »
Shodan montre plus de 150 serveurs Aspera Faspex exposés en ligne, la plupart aux États-Unis et en Chine.
La plupart des souches de ransomware chiffrent les serveurs Linux
La décision du rançongiciel IceFire d’étendre le ciblage Linux après s’être auparavant concentré sur l’attaque des seuls systèmes Windows est un changement stratégique qui s’aligne sur d’autres groupes de rançongiciels qui ont également commencé à attaquer les systèmes Linux ces dernières années.
Leur décision correspond à une tendance selon laquelle les entreprises sont passées aux machines virtuelles VMware ESXi sous Linux, qui offrent une gestion améliorée des périphériques et une gestion des ressources beaucoup plus efficace.
Après avoir déployé leur malware sur les hôtes ESXi, les opérateurs de ransomware peuvent utiliser une seule commande pour chiffrer en masse les serveurs Linux des victimes.
Bien que le ransomware IceFire ne cible pas spécifiquement les machines virtuelles VMware ESXi, son chiffreur Linux est tout aussi efficace, comme le montrent les fichiers chiffrés des victimes soumis à la plateforme ID-Ransomware pour analyse.
« Cette évolution pour IceFire renforce la popularité croissante des ransomwares ciblant Linux jusqu’en 2023 », déclare SentinelLabs.
« Alors que les bases ont été posées en 2021, la tendance des ransomwares Linux s’est accélérée en 2022 lorsque d’illustres groupes ont ajouté des chiffreurs Linux à leur arsenal. »
Des chiffreurs similaires ont été publiés par plusieurs autres gangs de rançongiciels, notamment Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX et Hive.
Fabian Wosar, CTO d’Emsisoft, a précédemment déclaré à Breachtrace que d’autres gangs de rançongiciels (en plus de ceux sur lesquels nous avons déjà signalé), notamment Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx/Defray et DarkSide, ont développé et déployé leurs propres chiffreurs Linux lors d’attaques.