IceFire: evoluzione del ransomware da Windows a Linux

La maggior parte dei ransomware interessa Windows, in quanto si tratta del sistema operativo più diffuso presente sulla piazza, ma i ricercatori di SentinelOne hanno notato che i criminali informatici recentemente stanno prendendo sempre più di mira anche Linux, proponendo varianti ad hoc dei virus, come nel caso di IceFire.

IceFire: ecco la versione specifica per Linux

Andando più nello specifico, i ricercatori hanno notato un recente attacco messo a segno con una versione di IceFire specifica per Linux. Il ransomware è apparso per la prima volta circa un anno fa, puntando esclusivamente ai sistemi operativi di casa Microsoft.

Una ottenuto l’accesso alla rete interna, il ransomware entra in azione andando ad applicare la crittografia ai file, aggiungendo l’estensione .ifire al nome dei file.

Vengono sfruttate differenti tecniche di offuscamento e vari meccanismi per la persistenza. Inoltre, se la vittima non paga il riscatto, i dati rubati vengono diffusi in Rete.

Gli attacchi più recenti sono stati effettuati contro aziende operanti nel settore dell’intrattenimento. I cybercriminali hanno colpito computer con CentOS, sfruttando la vulnerabilità CVE-2022-47986 di IBM Aspera Fastex, un software per la condivisione dei file.

L’operazione di cifratura salta alcuni tipi di file (ad esempio quelli con estensione .sh e .cfg) e diverse directory (ad esempio /boot) per mantenere operativo il sistema e quindi per fare in modo che il ransomware possa essere in esecuzione.

In ogni directory viene copiato il file di testo con le istruzioni da seguire per il pagamento del riscatto. Vengono altresì forniti una coppia di nome utente e password che la vittima deve adoperare per l’accesso a un sito Tor.