March 29, 2024

IceFire แรนซัมแวร์ตัวร้าย เล่นงานได้ทั้ง Linux และ Windows

หลังจากคุกคามระบบคอมพิวเตอร์ที่ใช้ Windows อยู่ระยะหนึ่ง ล่าสุดแรนซัมแวร์ตัวแสบอย่าง ได้พัฒนาตัวเองใหม่ ให้สามารถเล่นงานเครื่องที่ใช้ Linux

โดยนักวิจัยด้านความปลอดภัยของ SentinelLabs พบว่ากลุ่มคนร้ายเจาะระบบเครือข่ายขององค์กรด้านสื่อและความบันเทิงหลายแห่งทั่วโลกในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยเริ่มตั้งแต่กลางเดือนกุมภาพันธ์

เมื่อเข้าไปในเครือข่ายแล้ว ผู้โจมตีจะใช้มัลแวร์รูปแบบใหม่เพื่อเข้ารหัสไฟล์ Linux ของเหยื่อ

แรนซัมแวร์ IceFire จะเข้ารหัสและตั้งนามสกุลไฟล์ใหม่ว่า ‘.ifire’ จากนั้นก็จะทำการกลบเกลื่อนร่องรอย ด้วยการลบตัวเองและเอาข้อมูลออกจากไฟล์ไบนารี

ที่แสบคือ IceFire ไม่ได้เข้ารหัสไฟล์ทั้งหมดบน Linux แต่จะเลือกเข้ารหัสไฟล์อย่างมียุทธวิธี เพื่อให้ระบบยังคงสามารถทำงานอยู่ได้ แรนซัมแวร์หลีกเลี่ยงการเข้ารหัสเส้นทางเฉพาะอย่างมีกลยุทธ์ ช่วยให้ส่วนสำคัญของระบบยังคงทำงานได้

SentinelLabs ระบุว่า “เมื่อเปรียบเทียบกับ Windows แล้ว Linux นั้นติดตั้งแรนซัมแวร์ได้ยากกว่า ระบบ Linux จำนวนมากเป็นเซิร์ฟเวอร์ ”

ความเคลื่อนไหวของแรนซัมแวร์ IceFire ที่ขยายการจู่โจมไปยัง Linux หลังจากที่ก่อนหน้านี้เน้นไปที่การโจมตีเฉพาะระบบ Windows เป็นการเปลี่ยนแปลงเชิงกลยุทธ์ที่สอดคล้องกับกลุ่มแรนซัมแวร์อื่นๆ ที่เริ่มโจมตี Linux ในช่วงไม่กี่ปีที่ผ่านมา

SentinelLabs กล่าวว่า “วิวัฒนาการของ IceFire นี้เป็นการเสริมความแข็งแกร่งให้กับแรนซัมแวร์ที่มีเป้าหมายที่ Linux ซึ่งยังคงได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่องจนถึงปี 2023”

สิ่งเหล่านี้สอดคล้องกับแนวโน้มที่องค์กรเปลี่ยนไปสู่สภาพแวดล้อมเวอร์ชวลไลเซชัน VMware ESXi ที่ขับเคลื่อนด้วย Linux ซึ่งมีการจัดการอุปกรณ์ที่ได้รับการปรับปรุงและการจัดการทรัพยากรที่มีประสิทธิภาพมากขึ้น

ตัวเข้ารหัสที่คล้ายกันได้รับการเผยแพร่โดยแก๊งแรนซัมแวร์อื่น ๆ หลายตัว เช่น Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX และ Hive

ที่มา : bleepingcomputer