Credit image: Pixabay
Penjahat digital yang terkait dengan operasi ransomware IceFire sekarang secara aktif menargetkan sistem Linux di seluruh dunia dengan enkripsi khusus yang baru, enkripsi Linux.
Peneliti keamanan menemukan bahwa geng tersebut telah menembus jaringan beberapa perusahaan media dan hiburan di seluruh dunia dalam beberapa minggu terakhir.
Baca juga: Enkripsi Intermiten
Enkripsi Linux
Begitu berada di dalam jaringan mereka, pelaku menyebarkan varian malware baru mereka untuk mengenkripsi sistem Linux korban.
Ketika dijalankan, ransomware IceFire mengenkripsi file, menambahkan ekstensi ‘.ifire’ ke nama file, dan kemudian menutupi jejaknya dengan menghapus dirinya sendiri dan menghapus biner.
Penting juga untuk dicatat bahwa IceFire tidak mengenkripsi semua file di Linux. Ransomware secara strategis menghindari mengenkripsi jalur tertentu, memungkinkan bagian sistem penting tetap beroperasi.
Pendekatan yang diperhitungkan ini dimaksudkan untuk mencegah penghentian total sistem, yang dapat menyebabkan kerusakan yang tidak dapat diperbaiki dan bahkan gangguan yang lebih signifikan.
Meskipun aktif setidaknya sejak Maret 2022 dan sebagian besar tidak aktif sejak akhir November, ransomware IceFire kembali pada awal Januari dalam serangan baru.
Baca juga: Enkripsi Proteksi Berlapis Keamanan Data
Incar Aspera Faspex
Operator IceFire mengeksploitasi kerentanan deserialisasi dalam perangkat lunak berbagi file IBM Aspera Faspex (dilacak sebagai CVE-2022-47986) untuk meretas sistem target yang rentan dan menyebarkan muatan ransomware mereka.
Kerentanan RCE pra-auth dengan tingkat keparahan tinggi ini ditambal oleh IBM pada bulan Januari dan telah dieksploitasi dalam serangan sejak awal Februari [1, 2] setelah perusahaan manajemen permukaan serangan Assetnote menerbitkan laporan teknis yang berisi kode eksploit.
CISA juga menambahkan kelemahan keamanan ke katalog kerentanannya yang dieksploitasi secara liar pada Februari 2021, memerintahkan agen federal untuk menambal sistem mereka hingga 14 Maret.
Dibandingkan dengan Windows yang umumnya sering menjadi sasaran, Linux lebih sulit untuk menyebarkan ransomware terutama dalam skala besar.
Banyak sistem Linux adalah server: vektor infeksi biasa seperti phising atau unduhan drive by kurang efektif.
Untuk mengatasi ini, mereka beralih kerentanan aplikasi, seperti yang ditunjukkan oleh operator IceFire dengan menyebarkan muatan melalui kerentanan IBM Aspera.
Shodan menampilkan lebih dari 150 server Aspera Faspex yang diekspos secara online, sebagian besar di Amerika Serikat dan China.
Baca juga: Enkripsi kebutuhan atau Kewajiban?
Perluas Penargetan
Langkah IceFire ransomware untuk memperluas penargetan Linux setelah sebelumnya berfokus hanya menyerang sistem Windows adalah perubahan strategis yang sejalan dengan kelompok ransomware lain yang juga mulai menyerang sistem Linux dalam beberapa tahun terakhir.
Langkah mereka cocok dengan tren di mana perusahaan beralih ke mesin virtual VMware ESXi yang didukung Linux.
Yang menampilkan manajemen perangkat yang lebih baik dan penanganan sumber daya yang jauh lebih efisien.
Setelah menyebarkan malware mereka di host ESXi, operator ransomware dapat menggunakan satu perintah untuk mengenkripsi server Linux korban secara massal.
Meskipun ransomware IceFire tidak secara spesifik menargetkan VMware ESXi VM, enkripsi Linux mereka sama efisiennya.
Evolusi IceFire
Evolusi untuk IceFire ini memperkuat bahwa ransomware yang menargetkan Linux terus meningkat popularitasnya hingga tahun 2023.
Sementara pekerjaan dasar diletakkan pada tahun 2021, tren ransomware Linux dipercepat pada tahun 2022 ketika grup terkenal menambahkan enkripsi Linux ke gudang senjata mereka.
Enkripsi serupa telah dirilis oleh beberapa geng ransomware lainnya, termasuk Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, dan Hive.
Sementara itu, diketahui bahwa geng ransomware lain, seperti Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx/Defray, dan DarkSide, telah mengembangkan dan menerapkan enkripsi Linux mereka sendiri dalam serangan.
|
Baca lainnya: |
Sumber berita:
