In den letzten Wochen haben die Forscher von SentinelLabs beobachtet, dass neuartige Linux-Versionen der IceFire-Ransomware bei Angriffen auf Netzwerke mehrerer Unternehmen der Medien- und Unterhaltungsbranche weltweit eingesetzt wurden. Die Dateierweiterung iFire steht im Zusammenhang mit bekannten Berichten über IceFire, einer Ransomware-Familie, die von MalwareHunterTeam im März 2022 entdeckt wurde.
Derzeitige Beobachtungen deuten darauf hin, dass die Angreifer die Ransomware unter Ausnutzung von CVE-2022-47986, einer Deserialisierung-Schwachstelle in der IBM Aspera Faspex File Sharing Software, eingesetzt haben. Die Betreiber der IceFire-Malware, die sich bisher nur auf Windows konzentrierten, haben ihren Fokus nun auch auf Linux ausgeweitet. Dieser strategische Wechsel ist ein wichtiger Schritt, der sie in eine Reihe mit anderen Ransomware-Gruppen stellt, die ebenfalls auf Linux-Systeme abzielen.
Die Taktik der Angreifer stimmt mit der der „Big-Game-Hunting"-Ransomware-Familien überein. Sie setzen auf doppelte Erpressung, zielen auf große Unternehmen, verwenden zahlreiche Persistenzmechanismen und die vermeiden die Entdeckung durch das Löschen von Protokolldateien.
Frühere Berichte deuten darauf hin, dass IceFire sich auf Technologieunternehmen konzentriert, aber die Beobachtungen der Forscher von SentinelLabs zeigen, dass die jüngsten Angriffe auf Organisationen in der Medien- und Unterhaltungsbranche abzielen. Diese neue Ransomware-Variante hat Opfer in der Türkei, dem Iran, Pakistan und den Vereinigten Arabischen Emiraten angegriffen, die normalerweise nicht im Fokus organisierter Bedrohungsakteure stehen.
Technische Hintergründe
Die Linux-Version von IceFire ist eine 2,18 MB große 64-Bit-ELF-Binärdatei, die mit gcc für die AMD64-Architektur kompiliert wurde. Die Sicherheitsforscher haben das Beispiel auf Intel-basierten Distributionen von Ubuntu und Debian getestet und IceFire lief erfolgreich auf beiden Testsystemen.
Bei den beobachteten Angriffen wurde die Linux-Version auf CentOS-Hosts eingesetzt, auf denen eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software lief. Bei der Ausführung werden die Dateien verschlüsselt und umbenannt, wobei die Erweiterung „.ifire" an den Dateinamen angehängt wird.
Wichtige Erkenntnisse
Ein interessanter Befund der Untersuchung ist, dass das IceFire-Binary von keinem der 61 VirusTotal-Engines erkannt wurde und die Binärdatei einen hartcodierten öffentlichen RSA-Schlüssel enthält. Das Relikt befand sich nahe dem Ende der OpenSSL-Funktionalität, daher ist es möglich, dass das OpenSSL-Paket dieses Artefakt enthielt und es sich dabei nicht unbedingt um den Entwickler der Ransomware handelt.
Die Lösegeldforderung wird aus einer eingebetteten Ressource in der Binärdatei abgelegt und in jedes Verzeichnis geschrieben, das für die Dateiverschlüsselung vorgesehen ist. Die Forderung enthält dabei einen fest kodierten Benutzernamen und ein Passwort, mit denen man sich in das Portal für die Lösegeldzahlung einloggen muss, das auf einem versteckten Tor-Dienst läuft. Der Onion-Hostname der Linux-Version stimmt mit dem Hostnamen überein, den Ransomware-Tracker mit IceFire in Verbindung bringen, einschließlich Angriffen auf Windows.
Fazit
Diese Entwicklung bei IceFire bestätigt, dass Ransomware, die auf Linux abzielt, immer weiter an Popularität gewinnt. Während der Grundstein bereits im Jahr 2021 gelegt wurde, beschleunigte sich der Trend zu Linux-Ransomware im Jahr 2022, als berühmt-berüchtigte Gruppen Linux-Verschlüsselungsprogramme in ihre Angriffstechniken aufnahmen, darunter BlackBasta, Hive, Qilin, Vice Society alias HelloKitty und andere.
Im Vergleich zu Windows ist es bei Linux-Systemen schwieriger, Ransomware einzusetzen – vor allem in großem Maßstab. Typische Infektionsvektoren wie Phishing oder Drive-by-Downloads sind hier nämlich weniger effektiv. Aus diesem Grund nutzen die Bedrohungsakteure Schwachstellen in Anwendungen aus, wie die Betreiber der IceFire-Malware mit der Bereitstellung von Nutzdaten über eine IBM-Aspera-Schwachstelle aufzeigen konnten.