Prva Linux varijanta Clop ransomware-a otkrivena je u divljini, ali s neispravnim algoritmom šifrovanja koji je omogućio obrnuti inženjering procesa.
“ELF izvršna datoteka sadrži pogrešan algoritam šifrovanja koji omogućava dešifrovanje zaključanih datoteka bez plaćanja otkupnine”, rekao je istraživač SentinelOne-a Antonis Terefos u izvještaju koji je podijeljen za The Hacker News.
Kompanija za kibernetičku bezbjednost, koja je stavila na raspolaganje dešifrovanje, rekla je da je 26. decembra 2022. godine primijetila ELF verziju, dok je također istakla njene sličnosti sa Windows flavor-om kada se koristi isti metod šifrovanja.
Rečeno je da je otkriveni uzorak dio većeg napada usmjerenog na obrazovne institucije u Kolumbiji, uključujući Univerzitet La Salle, otprilike u isto vrijeme. Univerzitet je dodan na mjesto curenja kriminalne grupe početkom januara 2023. godine, prema FalconFeedsio-u.
Aktivna od 2019. godine, ransomware operacija Clop (stilizirana kao Cl0p) pretrpjela je veliki udarac u junu 2021. godine kada je šest osoba povezanih s bandom uhapšeno nakon međunarodne operacije za provođenje zakona kodnog naziva Operacija Ciklon.
Ali grupa kibernetičkih zločina izvela je “eksplozivni i neočekivani” povratak početkom 2022. godine, odnijevši na desetine žrtava iz industrijskih i tehnoloških vertikala.
SentinelOne je Linux verziju okarakterisao kao verziju u ranoj fazi zbog činjenice da nedostaju neke funkcije koje su prisutne u njegovom Windows dvojniku.
Ovaj nedostatak pariteta karakteristika se takođe objašnjava činjenicom da su autori malicioznog softvera odlučili da naprave prilagođeni Linux payload umesto da jednostavno prenesu preko Windows verzije, što sugeriše da bi buduće varijante Clop-a mogle da zatvore te praznine.
“Razlog za to bi mogao biti taj što hakeru nije bilo potrebno posvetiti vrijeme i resurse za poboljšanje prikrivanja ili izbjegavanja zbog činjenice da ga trenutno ne otkrivaju sva 64 sigurnosna mehanizma na VirusTotal-u”, objasnio je Terefos.
Verzija za Linux je dizajnirana da izdvoji određene mape i tipove datoteka za enkripciju, pri čemu ransomware sadrži tvrdo kodirani glavni ključ koji se može koristiti za oporavak originalnih datoteka bez plaćanja hakerima.
Ako ništa drugo, razvoj ukazuje na rastući trend hakera koji se sve više upuštaju izvan Windows-a kako bi ciljali druge platforme.
“Dok je varijacija Cl0p-a s okusom Linuxa, u ovom trenutku, u povojima, njegov razvoj i gotovo sveprisutna upotreba Linux-a na serverima i radnim opterećenjima u Cloud-u sugerišu da bi branioci trebali očekivati da će u budućnosti vidjeti više kampanja usmjerenih na ransomware,” Terefos je rekao.
Izvor: The Hacker News
