Ngày 07 tháng 2 năm 2023Ravie LakshmananMã hóa / Linux
Biến thể Linux đầu tiên của mã độc tống tiền Clop đã được phát hiện ngoài tự nhiên, nhưng với một thuật toán mã hóa bị lỗi khiến quá trình này có thể bị đảo ngược.
Nhà nghiên cứu Antonis Terefos của SentinelOne cho biết trong một báo cáo được chia sẻ với The Hacker News: “Tệp thực thi ELF chứa một thuật toán mã hóa bị lỗi khiến nó có thể giải mã các tệp bị khóa mà không phải trả tiền chuộc”.
Công ty an ninh mạng, đã cung cấp bộ giải mã, cho biết họ đã quan sát phiên bản ELF vào ngày 26 tháng 12 năm 2022, đồng thời lưu ý những điểm tương đồng của phiên bản này với phiên bản Windows khi sử dụng cùng một phương pháp mã hóa.
Mẫu được phát hiện được cho là một phần của cuộc tấn công lớn hơn nhắm vào các tổ chức giáo dục ở Colombia, bao gồm Đại học La Salle, vào cùng thời điểm. Trường đại học đã được thêm vào trang web rò rỉ của nhóm tội phạm vào đầu tháng 1 năm 2023, theo FalconFeedsio.
Được biết là đã hoạt động từ năm 2019, hoạt động của mã độc tống tiền Clop (cách điệu là Cl0p) đã hứng chịu một đòn giáng mạnh vào tháng 6 năm 2021 khi sáu cá nhân có liên hệ với băng nhóm này bị bắt giữ sau một chiến dịch thực thi pháp luật quốc tế có tên mã là Operation Cyclone.
Nhưng nhóm tội phạm mạng này đã tổ chức một cuộc trở lại “bùng nổ và bất ngờ” vào đầu năm 2022, cướp đi sinh mạng của hàng chục nạn nhân trong các ngành công nghiệp và công nghệ.
SentinelOne đã mô tả phiên bản Linux là phiên bản ở giai đoạn đầu do thực tế là một số chức năng có trong phiên bản Windows của nó bị thiếu.
Sự thiếu tương đương về tính năng này cũng được giải thích bởi thực tế là các tác giả phần mềm độc hại đã chọn xây dựng một tải trọng Linux tùy chỉnh thay vì chỉ chuyển qua phiên bản Windows, gợi ý rằng các biến thể trong tương lai của Clop có thể lấp đầy những khoảng trống đó.
Terefos giải thích: “Lý do cho điều này có thể là tác nhân đe dọa không cần dành thời gian và nguồn lực để cải thiện khả năng che giấu hoặc lẩn tránh do thực tế là nó hiện không bị phát hiện bởi tất cả 64 công cụ bảo mật trên VirusTotal”.
Phiên bản Linux được thiết kế để chọn ra các thư mục và loại tệp cụ thể để mã hóa, với phần mềm tống tiền chứa khóa chính được mã hóa cứng có thể được sử dụng để khôi phục các tệp gốc mà không phải trả tiền cho các tác nhân đe dọa.
Nếu bất cứ điều gì, sự phát triển chỉ ra xu hướng ngày càng tăng của các tác nhân đe dọa ngày càng mạo hiểm vượt ra ngoài Windows để nhắm mục tiêu vào các nền tảng khác.
“Mặc dù biến thể Cl0p mang hương vị Linux, tại thời điểm này, vẫn còn ở giai đoạn sơ khai, nhưng sự phát triển của nó và việc sử dụng Linux gần như phổ biến trong các máy chủ và khối lượng công việc trên đám mây cho thấy rằng những người bảo vệ sẽ thấy nhiều chiến dịch ransomware nhắm mục tiêu vào Linux hơn trong tương lai.” Terefos nói.
