Una cepa de ransomware basada en Windows previamente conocida como IceFire, ha ampliado su enfoque para apuntar a las redes empresariales de Linux, que pertenecen a varias organizaciones del sector de medios y entretenimiento en todo el mundo.
Las intrusiones implican la explotación de una vulnerabilidad de deserialización revelada recientemente en el software de intercambio de archivos IBM Aspera Faspex (CVE-2022-47986, puntuación CVSS: 9.8), según la empresa de seguridad cibernética SentinelOne.
«Este cambio estratégico es un movimiento significativo que los alinea con otros grupos de ransomware que también se dirigen a los sistemas Linux», dijo Alex Delamotte, investigador principal de amenazas de SentinelOne.
La mayoría de los ataques observador por SentinelOne se han dirigido contra empresas ubicadas en Turquía, Irán, Pakistán y los Emiratos Árabes Unidos, países que normalmente no son el objetivo de equipos organizados de ransomware.
IceFire fue destacado por primera vez en marzo de 2022 por MalwareHunterTeam, pero no fue hasta agosto de 2022 que las víctimas fueron publicadas por medio de su sitio de fugas en la web oscura, según GuidePoint Security, Malwarebytes y NCC Group.
El binario de ransomware dirigido a Linux es un archivo ELF de 64bits de 2.18 MB, que está instalado en hosts CentOS que ejecutan una versión vulnerable del software de servidor de archivos IBM Aspera Faspex. También es capaz de evitar encriptar ciertas rutas para que la máquina infectada siga operativa.
«En comparación con Windows, Linux es más difícil de implementar ransomware, particularmente a escala. Muchos sistemas Linux son servidores: los vectores de infección típicos como el phishing o la descarga oculta son menos efectivos. Para superar esto, los hackers recurren a la explotación de las vulnerabilidades de las aplicaciones», dijo Delamotte.
El desarrollo se produce cuando Fortinet FortiGuard Labs reveló una nueva campaña de ransomware LockBit que emplea «artefactos comerciales evasivos» para evitar la detección a través de contenedores .IMG que eluden las protecciones Mark-of-the-Web (MotW).
