
In den letzten Wochen haben die Forscher von SentinelLabs beobachtet, dass neuartige Linux-Versionen der IceFire-Ransomware bei Angriffen auf Netzwerke mehrerer Unternehmen der Medien- und Unterhaltungsbranche weltweit eingesetzt wurden. Die Dateierweiterung iFire steht im Zusammenhang mit bekannten Berichten über IceFire, einer Ransomware-Familie, die von MalwareHunterTeam im März 2022 entdeckt wurde.
Derzeitige Beobachtungen deuten darauf hin, dass die Angreifer die Ransomware unter Ausnutzung von CVE-2022-47986, einer Deserialisierung-Schwachstelle in der IBM Aspera Faspex File Sharing Software, eingesetzt haben. Die Betreiber der IceFire-Malware, die sich bisher nur auf Windows konzentrierten, haben ihren Fokus nun auch auf Linux ausgeweitet. Dieser strategische Wechsel ist ein wichtiger Schritt, der sie in eine Reihe mit anderen Ransomware-Gruppen stellt, die ebenfalls auf Linux-Systeme abzielen.
Die Taktik der Angreifer stimmt mit der der „Big-Game-Hunting“-Ransomware-Familien überein. Sie setzen auf doppelte Erpressung, zielen auf große Unternehmen, verwenden zahlreiche Persistenzmechanismen und die vermeiden die Entdeckung durch das Löschen von Protokolldateien. Frühere Berichte deuten darauf hin, dass IceFire sich auf Technologieunternehmen konzentriert, aber die Beobachtungen der Forscher von SentinelLabs zeigen, dass die jüngsten Angriffe auf Organisationen in der Medien- und Unterhaltungsbranche abzielen. Diese neue Ransomware-Variante hat Opfer in der Türkei, dem Iran, Pakistan und den Vereinigten Arabischen Emiraten angegriffen, die normalerweise nicht im Fokus organisierter Bedrohungsakteure stehen.
Technische Hintergründe
Die Linux-Version von IceFire ist eine 2,18 MB große 64-Bit-ELF-Binärdatei, die mit gcc für die AMD64-Architektur kompiliert wurde. Die Sicherheitsforscher haben das Beispiel auf Intel-basierten Distributionen von Ubuntu und Debian getestet und IceFire lief erfolgreich auf beiden Testsystemen. Bei den beobachteten Angriffen wurde die Linux-Version auf CentOS-Hosts eingesetzt, auf denen eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software lief. Bei der Ausführung werden die Dateien verschlüsselt und umbenannt, wobei die Erweiterung „.ifire“ an den Dateinamen angehängt wird.
Wichtige Erkenntnisse
Ein interessanter Befund der Untersuchung ist, dass das IceFire-Binary von keinem der 61 VirusTotal-Engines erkannt wurde und die Binärdatei einen hartcodierten öffentlichen RSA-Schlüssel enthält. Das Relikt befand sich nahe dem Ende der OpenSSL-Funktionalität, daher ist es möglich, dass das OpenSSL-Paket dieses Artefakt enthielt und es sich dabei nicht unbedingt um den Entwickler der Ransomware handelt. Die Lösegeldforderung wird aus einer eingebetteten Ressource in der Binärdatei abgelegt und in jedes Verzeichnis geschrieben, das für die Dateiverschlüsselung vorgesehen ist. Die Forderung enthält dabei einen fest kodierten Benutzernamen und ein Passwort, mit denen man sich in das Portal für die Lösegeldzahlung einloggen muss, das auf einem versteckten Tor-Dienst läuft. Der Onion-Hostname der Linux-Version stimmt mit dem Hostnamen überein, den Ransomware-Tracker mit IceFire in Verbindung bringen, einschließlich Angriffen auf Windows.
Fazit
Diese Entwicklung bei IceFire bestätigt, dass Ransomware, die auf Linux abzielt, immer weiter an Popularität gewinnt. Während der Grundstein bereits im Jahr 2021 gelegt wurde, beschleunigte sich der Trend zu Linux-Ransomware im Jahr 2022, als berühmt-berüchtigte Gruppen Linux-Verschlüsselungsprogramme in ihre Angriffstechniken aufnahmen, darunter BlackBasta, Hive, Qilin, Vice Society alias HelloKitty und andere. Im Vergleich zu Windows ist es bei Linux-Systemen schwieriger, Ransomware einzusetzen – vor allem in großem Maßstab. Typische Infektionsvektoren wie Phishing oder Drive-by-Downloads sind hier nämlich weniger effektiv. Aus diesem Grund nutzen die Bedrohungsakteure Schwachstellen in Anwendungen aus, wie die Betreiber der IceFire-Malware mit der Bereitstellung von Nutzdaten über eine IBM-Aspera-Schwachstelle aufzeigen konnten.
Weitere Informationen über die Untersuchung finden Sie hier: https://www.sentinelone.com/labs/icefire-ransomware-returns-now-targeting-linux-enterprise-networks/
Fachartikel

Sind Daten Ihr schwächstes Glied?

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
