0
0
Nova variante Linux do ransomware é semelhante à versão Windows, usando o mesmo método de criptografia e lógica de processo, mas contém uma lógica de criptografia defeituosa
Um pesquisador de segurança do SentinelLabs detectou atividades do ransomware Clop visando sistemas Linux. A nova variante do ransomware foi descoberta e detalhada por Antonis Terefos que, em uma postagem no blog do SentinelLabs, disse ter observado o malware de criptografia de arquivos direcionado aos sistemas Linux pela primeira vez em 26 de dezembro, depois que a gangue o utilizou para atingir uma universidade na Colômbia, adicionada ao site de vazamento da dark web do Clop em janeiro.
O site de vazamento do Clop, que permanece ativo, atualmente lista a Universidade La Salle da Columbia entre suas vítimas mais recentes, ao lado da companhia de abastecimento de água South Staffordshire Water do Reino Unido.
Terefos observa que a nova variante Linux do ransomware é semelhante à versão Windows, usando o mesmo método de criptografia e lógica de processo semelhante, mas contém várias falhas, incluindo uma lógica de criptografia de ransomware defeituosa que torna possível “desembaralhar” os arquivos originais sem pagar um pedido de resgate. Para isso, o SentinelLabs criou uma ferramenta gratuita de descriptografia de arquivos disponível para vítimas do Clop, que a empresa disse ao TechCrunch que compartilhou também com as autoridades.
O pesquisador disse que algumas das falhas existem porque os hackers do Clop decidiram criar uma variante Linux do ransomware sob medida, em vez de portar a versão Windows. Mas ele alerta que mais ransomwares direcionados ao Linux estão por vir. “Embora a variante Linux do Clop esteja, neste momento, em sua infância, seu desenvolvimento e o uso quase onipresente do Linux em servidores e cargas de trabalho na nuvem sugerem que os defensores devem esperar por mais campanhas de ransomware direcionadas ao Linux daqui para frente”, disse Terefos.
O grupo que opera o Clop, de idioma russo, está ativo desde 2019, mas parece ter sofrido um grande revés em 2021, quando seis afiliados ao grupo foram presos após uma operação internacional de codinome Operação Ciclone. A polícia ucraniana também disse na época ter derrubado com sucesso a infraestrutura de servidores usada pela gangue. Mas o Clop continuou a fazer novas vítimas, incluindo um varejista de equipamentos agrícolas e um escritório de arquitetura, apenas algumas semanas após as batidas policiais.
A gangue teve mais retorno no ano passado, quando foram adicionadas 21 vítimas ao seu site de vazamento na dark web em apenas um mês. “O aumento na atividade do Clop parece sugerir que eles retornaram ao cenário de ameaças”, disse Matt Hull, líder global de inteligência estratégica de ameaças do NCC Group, ao TechCrunch. “As organizações dentro dos setores mais visados pelo Clop — principalmente industriais e empresas de tecnologia — devem considerar a ameaça que este grupo de ransomware apresenta e estar preparados para isso.”
FONTE: CISO ADVISOR