Программа-вымогатель IceFire для Windows начала заражать устройства с Linux

Недавно был обнаружен вариант программы-вымогателя, обычно известной тем, что она шифрует системы Windows. Теперь она нацелена и на устройства с Linux. Согласно новому исследованию SentinelOne, программа-вымогатель IceFire нацелена на серверы Linux, используя известную уязвимость в IBM Aspera Faspex.

В своем блоге Алекс Деламотт, старший исследователь угроз в SentinelOne, подробно описал недавнюю угрозу для предприятий, которую SentinelLabs наблюдала с середины февраля. IceFire появился на рынке программ-вымогателей год назад, но в сентябре занял первое место в списке самых активных групп угроз NCC Group.

Теперь деятельность IceFire распространилась на серверы Linux в дополнение к системам Windows.

Как и многие банды вымогателей и злоумышленников, программа IceFire, похоже, использует известную уязвимость, которая остаётся неисправленной в некоторых корпоративных средах.

Специалисты SentinelOne наблюдали эти атаки на «несколько организаций медиа- и развлекательного сектора по всему миру». Оказалось, что большинство инструментов обнаружения угроз неэффективны для Linux. Сообщение в блоге предупредило, что двоичный файл IceFire не был обнаружен ни одним из 61 механизмов обнаружения угроз, скомпилированных VirusTotal.

Как только злоумышленники получают доступ, программа-вымогатель IceFire нацеливается на пользовательские и общие каталоги для шифрования. Поскольку это незащищённые части файловой системы, они не требуют повышенных привилегий для записи или изменения.