Descubierta la versión para Linux del ransomware RansomEXX

La firma de seguridad Kaspersky indicó que descubrió una versión para Linux del ransomware RansomEXX, lo que marca la primera vez que una cepa de ransomware importante de Windows se ha trasladado a Linux.

RansomEXX es una variedad de ransomware relativamente nueva que se detectó por primera vez a principios de este año en junio.

El ransomware se ha utilizado en ataques contra el Departamento de Transporte de Texas , Konica Minolta , el contratista del gobierno de EE. UU. Tyler Technologies , el sistema de transporte público de Montreal y, más recientemente, contra el sistema judicial de Brasil (STJ) .

RansomEXX es lo que los investigadores de seguridad llaman un » cazador de caza mayor » o » ransomware operado por humanos «. Estos dos términos se utilizan para describir grupos de ransomware que cazan grandes objetivos en busca de grandes pagos, sabiendo que algunas empresas o agencias gubernamentales no pueden permitirse permanecer inactivos mientras recuperan sus sistemas.

Estos grupos compran el acceso o violan las redes ellos mismos, amplían el acceso a tantos sistemas como sea posible y luego implementan manualmente su binario de ransomware como una carga útil final para paralizar la mayor parte posible de la infraestructura del objetivo.

Pero durante el año pasado, ha habido un cambio de paradigma sobre cómo operan estos grupos.

Muchas bandas de ransomware se han dado cuenta de que atacar primero las estaciones de trabajo no es un negocio lucrativo, ya que las empresas tenderán a cambiar la imagen de los sistemas afectados y seguir adelante sin pagar rescates.

En los últimos meses, en muchos incidentes, algunas bandas de ransomware no se han molestado en cifrar las estaciones de trabajo y, ante todo, se han dirigido a servidores cruciales dentro de la red de una empresa, sabiendo que al eliminar estos sistemas primero, las empresas no podrían acceder a su tesoros de datos centralizados, incluso si las estaciones de trabajo no se vieron afectadas.

La banda RansomEXX que crea una versión para Linux de su ransomware de Windows está en sintonía con la cantidad de empresas que operan hoy en día, con muchas empresas que ejecutan sistemas internos en Linux y no siempre en Windows Server.

Una versión de Linux tiene mucho sentido desde la perspectiva de un atacante; siempre buscando expandir y tocar tanta infraestructura central como sea posible en su búsqueda para paralizar a las empresas y exigir rescates más altos.

Lo que vemos en RansomEXX pronto puede convertirse en una tendencia que defina la industria, y otros grandes grupos de ransomware también lanzarán sus versiones de Linux en el futuro.

Y esta tendencia parece haber comenzado. Según la firma de ciberseguridad Emsisoft, además de RansomEXX, la banda de ransomware Mespinoza (Pysa) también ha desarrollado recientemente una variante de Linux a partir de su versión inicial de Windows.Pero el ransomware de Linux tampoco es único. En los últimos años, otras bandas de ransomware también han creado cepas de ransomware de Linux, como el grupo Snatch. Sin embargo, esos grupos eran operaciones de poca monta que dependían de campañas de spam para infectar a las víctimas, rara vez tenían éxito y no participaban en intrusiones específicas como la generación actual de grupos de ransomware que vemos hoy.

Fragmento del pseudocódigo del procedimiento de cifrado de archivos; Los nombres de variables y funciones se guardan en la información de depuración y deben coincidir con el código fuente original.