In den letzten Wochen haben die Forscher von SentinelLabs beobachtet, dass neuartige Linux-Versionen der IceFire-Ransomware bei Angriffen auf Netzwerke mehrerer Unternehmen der Medien- und Unterhaltungsbranche weltweit eingesetzt wurden. Die Dateierweiterung iFire steht im Zusammenhang mit bekannten Berichten über IceFire, einer Ransomware-Familie, die von MalwareHunterTeam im März 2022 entdeckt wurde.
Derzeitige Beobachtungen deuten darauf hin, dass die Angreifer die Ransomware unter Ausnutzung von CVE-2022-47986, einer Deserialisierung-Schwachstelle in der IBM Aspera Faspex File Sharing Software, eingesetzt haben. Die Betreiber der IceFire-Malware, die sich bisher nur auf Windows konzentrierten, haben ihren Fokus nun auch auf Linux ausgeweitet. Dieser strategische Wechsel ist ein wichtiger Schritt, der sie in eine Reihe mit anderen Ransomware-Gruppen stellt, die ebenfalls auf Linux-Systeme abzielen.
Die Taktik der Angreifer stimmt mit der der „Big-Game-Hunting“-Ransomware-Familien überein. Sie setzen auf doppelte Erpressung, zielen auf große Unternehmen, verwenden zahlreiche Persistenzmechanismen und die vermeiden die Entdeckung durch das Löschen von Protokolldateien. Frühere Berichte deuten darauf hin, dass IceFire sich auf Technologieunternehmen konzentriert, aber die Beobachtungen der Forscher von SentinelLabs zeigen, dass die jüngsten Angriffe auf Organisationen in der Medien- und Unterhaltungsbranche abzielen. Diese neue Ransomware-Variante hat Opfer in der Türkei, dem Iran, Pakistan und den Vereinigten Arabischen Emiraten angegriffen, die normalerweise nicht im Fokus organisierter Bedrohungsakteure stehen.
Technische Hintergründe
Die Linux-Version von IceFire ist eine 2,18 MB große 64-Bit-ELF-Binärdatei, die mit gcc für die AMD64-Architektur kompiliert wurde. Die Sicherheitsforscher haben das Beispiel auf Intel-basierten Distributionen von Ubuntu und Debian getestet und IceFire lief erfolgreich auf beiden Testsystemen. Bei den beobachteten Angriffen wurde die Linux-Version auf CentOS-Hosts eingesetzt, auf denen eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software lief. Bei der Ausführung werden die Dateien verschlüsselt und umbenannt, wobei die Erweiterung „.ifire“ an den Dateinamen angehängt wird.
Wichtige Erkenntnisse
Ein interessanter Befund der Untersuchung ist, dass das IceFire-Binary von keinem der 61 VirusTotal-Engines erkannt wurde und die Binärdatei einen hartcodierten öffentlichen RSA-Schlüssel enthält. Das Relikt befand sich nahe dem Ende der OpenSSL-Funktionalität, daher ist es möglich, dass das OpenSSL-Paket dieses Artefakt enthielt und es sich dabei nicht unbedingt um den Entwickler der Ransomware handelt. Die Lösegeldforderung wird aus einer eingebetteten Ressource in der Binärdatei abgelegt und in jedes Verzeichnis geschrieben, das für die Dateiverschlüsselung vorgesehen ist. Die Forderung enthält dabei einen fest kodierten Benutzernamen und ein Passwort, mit denen man sich in das Portal für die Lösegeldzahlung einloggen muss, das auf einem versteckten Tor-Dienst läuft. Der Onion-Hostname der Linux-Version stimmt mit dem Hostnamen überein, den Ransomware-Tracker mit IceFire in Verbindung bringen, einschließlich Angriffen auf Windows.
Fazit
Diese Entwicklung bei IceFire bestätigt, dass Ransomware, die auf Linux abzielt, immer weiter an Popularität gewinnt. Während der Grundstein bereits im Jahr 2021 gelegt wurde, beschleunigte sich der Trend zu Linux-Ransomware im Jahr 2022, als berühmt-berüchtigte Gruppen Linux-Verschlüsselungsprogramme in ihre Angriffstechniken aufnahmen, darunter BlackBasta, Hive, Qilin, Vice Society alias HelloKitty und andere. Im Vergleich zu Windows ist es bei Linux-Systemen schwieriger, Ransomware einzusetzen – vor allem in großem Maßstab. Typische Infektionsvektoren wie Phishing oder Drive-by-Downloads sind hier nämlich weniger effektiv. Aus diesem Grund nutzen die Bedrohungsakteure Schwachstellen in Anwendungen aus, wie die Betreiber der IceFire-Malware mit der Bereitstellung von Nutzdaten über eine IBM-Aspera-Schwachstelle aufzeigen konnten.
Weitere Informationen über die Untersuchung finden Sie hier: https://www.sentinelone.com/labs/icefire-ransomware-returns-now-targeting-linux-enterprise-networks/
Fachartikel
ETH-Forschende entdecken neue Sicherheitslücke in Intel-Prozessoren
Sicherheitskontrollen im Wandel: Warum kontinuierliche Optimierung zur proaktiven Abwehr und einem stabilen Sicherheitsmanagement gehört
Massives Datenleck: 200 Milliarden Dateien in Cloud-Speichern öffentlich zugänglich
Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife
Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Studien
Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs
Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran
Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper
TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor
Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen
Wie die Datenverwaltung Wachstum und Compliance fördert
Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025
Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell
Insider – die verdrängte Gefahr
Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken
Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
