Se você achava que sistemas Linux estavam a salvo de ameaças cibernéticas, é hora de repensar essa ideia. O grupo hacker responsável pelo ransomware IceFire está voltando suas atenções para o sistema do pinguim. E essa expansão da atuação do grupo é preocupante.
De acordo com um relatório da empresa de cibersegurança SentinelLabs, novas versões do ransomware IceFire estão sendo implantadas em várias organizações de mídia e entretenimento em todo o mundo desde meados de fevereiro de 2023. Ao longo de 2022 o grupo já estava em atuação, mas focava apenas em sistemas Windows. Mas agora é a vez dos servidores Linux.
Leia também
O que é malware? Conheça os tipos mais comuns
O que é um backdoor e qual o perigo para a privacidade?
IceFire explora falha em software da IBM
Os pesquisadores da SentinelLabs descobriram que os hackers invadem as redes das vítimas por meio de uma vulnerabilidade presente no software de compartilhamento de arquivos IBM Aspera Faspex (CVE-2022-47986).
É verdade que esta vulnerabilidade foi corrigida pela IBM em janeiro. Mas quem ainda não atualizou o software para a versão 4.4.2 PL2 ainda está vulnerável ao ataque.
A partir dessa brecha de segurança, os hackers implantam o ransomware para criptografar arquivos em sistemas Linux, adicionando a extensão “.ifire” aos nomes dos arquivos criptografados. Caso você não saiba, um ransomware é um tipo de malware que criptografa os arquivos do sistema infectado e exige um resgate em troca da chave de descriptografia.
Método de ataque inteligente
Mas o curioso é que o IceFire não criptografa todos os arquivos do sistema operacional Linux. O malware evita estrategicamente determinados caminhos e extensões de arquivo que são cruciais para o funcionamento do sistema. Assim, as chances do usuário desconfiar de algo logo de cara são bem reduzidas.
Por exemplo, o IceFire não criptografa arquivos que estão em pastas como “boot”, “etc” e “lib”. O ataque é direcionado apenas a pastas de usuários e compartilhadas. Estes diretórios geralmente ficam desprotegidos e podem ser modificados sem privilégios.
A intenção é extorquir dinheiro dos responsáveis pelo sistema, ameaçando vazar os dados na internet caso não cumpram a exigência em até cinco dias.
Grupos de ransomware começam a focar em sistemas Linux
A expansão do grupo IceFire para sistemas Linux segue uma tendência crescente entre grupos de ransomware. Agora eles estão buscando expandir suas opções de alvos em resposta ao aumento da adoção de sistemas Linux em grandes empresas. Em 2022, por exemplo, o grupo responsável pelo IceFire promoveu dezenas de ataques. Todos em sistemas Windows.
O aumento da popularidade do Linux em servidores se deve, em parte, à sua escalabilidade e flexibilidade. O sistema possibilita a hospedagem de aplicativos em contêineres, além de permitir que uma única instância do sistema operacional seja executada em múltiplos servidores.
Com um maior número de empresas usando Linux em seus servidores, a adoção de estratégias de segurança proativas, incluindo a correção de vulnerabilidades conhecidas, é mais importante do que nunca. A SentinelLabs recomenda que os usuários de Linux se protejam contra o IceFire e outros ataques de ransomware realizando backups regulares e mantendo os sistemas atualizados com as últimas correções de segurança.
Fontes: BleepingComputer, The Hacker News e SentinelLabs
Veja também
Sobre o Autor
Deixe seu comentário