最近發(fā)現(xiàn)基于Windows的勒索軟件IceFire現(xiàn)在開始針對多個領(lǐng)域的Linux企業(yè)網(wǎng)絡(luò)。

SentinelLabs的研究人員發(fā)現(xiàn)了IceFire勒索軟件新的Linux版本。該勒索軟件最初只針對基于Windows的系統(tǒng)，主要是針對技術(shù)公司。IceFire于2022年3月首次被MalwareHunterTeam的研究人員發(fā)現(xiàn)，但該組織自2022年8月起便開始活躍在暗網(wǎng)上。

專家們觀察到IceFire利用IBM Aspera Faspex文件共享軟件（CVE-2022-47986，CVSS評分：9.8）的反序列化漏洞來部署勒索軟件。

大多數(shù)IceFire攻擊事件主要發(fā)生在土耳其、伊朗、巴基斯坦和阿拉伯聯(lián)合酋長國。專家指出，這些國家通常不是勒索組織行動的重點。

SentinelOne研究人員成功地測試了IceFire Linux版本對基于英特爾的Ubuntu和Debian發(fā)行版。該勒索軟件成功加密了一臺運行IBM Aspera Faspex文件服務(wù)器軟件的CentOS主機。該勒索軟件對文件進(jìn)行加密，并在文件名上附加".ifire "擴展名，然后通過刪除二進(jìn)制文件來自我刪除。

IceFire不加密帶有".sh "和".cfg "擴展名的文件，它還避免加密某些文件夾，以便受感染的機器繼續(xù)可用。

通過分析，位于/home/[user_name]/的用戶配置文件目錄看到的加密活動最多。IceFire針對用戶和共享目錄（例如，/mnt，/media，/share）進(jìn)行加密；這些是文件系統(tǒng)中未受保護的部分，不需要提升權(quán)限來寫入或修改。

該勒索軟件的Windows版本通過網(wǎng)絡(luò)釣魚信息傳播，并使用開發(fā)后的工具包進(jìn)行透視。Linux變體仍處于早期階段。

專家指出，在報告發(fā)布時，IceFire二進(jìn)制文件被0/61個VirusTotal引擎檢測到。贖金票據(jù)包含硬編碼的憑證，用于登錄托管在Tor隱藏服務(wù)上的贖金支付門戶。

IceFire的這一演變證實了針對Linux的勒索軟件在2023年會繼續(xù)流行。Linux勒索軟件，包括BlackBasta、Hive、Qilin、Vice Society aka HelloKitty等。

專家總結(jié)道：與Windows相比，Linux更難以部署勒索軟件，特別是在規(guī)模上。為了克服這一點，攻擊者轉(zhuǎn)變方向，利用應(yīng)用程序的漏洞，正如IceFire運營商通過IBM Aspera漏洞部署有效載荷所證明的那樣。