0
0
A lógica de criptografia defeituosa usada na variante Linux (ELF) do ransomware Cl0p (Clop) permitiu que os pesquisadores do SentinelOne criassem e lançassem um descriptografador .
“A variante [Cl0p] do Windows criptografa a chave RC4 gerada responsável pela criptografia do arquivo usando o algoritmo assimétrico RSA e uma chave pública. Na variante do Linux, a chave RC4 gerada é criptografada com uma ‘chave mestra’ RC4 [codificada]”, explicaram os pesquisadores.
As diferenças entre as variantes do Windows e do Linux
A variante Linux Cl0p é relativamente nova e foi detectada pela primeira vez pelos pesquisadores no final de dezembro de 2022.
“Parece estar em suas fases iniciais de desenvolvimento, pois algumas funcionalidades presentes nas versões do Windows não existem atualmente nesta nova versão do Linux”, observaram .
“Uma razão para isso pode ser que o agente da ameaça não precisou dedicar tempo e recursos para melhorar a ofuscação ou a evasão devido ao fato de que atualmente não é detectado por todos os 64 mecanismos de segurança do VirusTotal .”
As diferenças entre a variante Windows e Linux são muitas. Por exemplo, o primeiro evita criptografar pastas, arquivos e arquivos específicos com extensões específicas, e o último não. O primeiro pode ser executado com parâmetros diferentes para orientar quais unidades serão direcionadas para criptografia, enquanto o último é focado em criptografar apenas as pastas codificadas especificadas. O primeiro carrega uma nota de resgate criptografada que é criptografada, mas o primeiro armazena a nota como texto simples.
Mas a diferença mais significativa – do ponto de vista das vítimas – é a falha que possibilitou a criação do descriptografador.
“Nos últimos doze meses, continuamos a observar o aumento do direcionamento de várias plataformas por operadores ou variantes individuais de ransomware”, observaram os pesquisadores.
“Embora a variação do Cl0p com sabor de Linux esteja, neste momento, em sua infância, seu desenvolvimento e o uso quase onipresente do Linux em servidores e cargas de trabalho na nuvem sugerem que os defensores devem esperar ver mais campanhas de ransomware direcionadas ao Linux daqui para frente.”
É de se esperar que os desenvolvedores do ransomware Cl0p corrijam a vulnerabilidade em breve. Enquanto isso, as vítimas podem usar a ferramenta de descriptografia e procurar proteger melhor seus sistemas contra ataques de ransomware em geral.
FONTE: HELPNET SECURITY