O Linux acaba de ganhar um inimigo que pretende usar o sistema operacional para ações maliciosas. O Ramsonware SFile, também conhecido como Escal, que está ativo desde 2020 tinha sua ação identificada apenas no sistema Windows. No entanto, uma versão para Linux do ramsonware SFile foi desenvolvida, para ampliar os ataques.
Descoberta da variante Linux do SFile
Recentemente, a empresa de segurança chinesa Rising detectou uma variante Linux do ransomware SFile que usa o modo de algoritmo RSA+AES. Algumas variantes do ransomware anexam o nome em inglês da empresa alvo aos nomes dos arquivos criptografados.
De acordo com as informações, a variante capturada desta vez usa nuctech-gj0okyci (nuctech é o nome em inglês da Nuctech Technology Co., Ltd.) como o nome do sufixo. Recentemente, o Rising capturou a variante da plataforma Linux do ransomware.
Pesquisadores da empresa de segurança ESET descobriram uma variante de ransomware SFile que suporta a plataforma FreeBSD que foi usada em ataques contra uma empresa parcialmente estatal na China.
De acordo com o ESET (Via: SecurityAffairs), o ramsonware SFile usa a biblioteca Mbed TLS, algoritmos RSA-2048 e AES-256 para criptografia de arquivos. Ainda de acordo com as informações, o ransomware não tem seu próprio portal. Assim, os atacantes se comunicam com as vítimas por e-mail.
Ataques do SFile no Linux
Ataques com a nova variante também foram confirmados pelo The Record com MalwareHunterTeam. O ransomware estava envolvido em ataques direcionados contra redes corporativas e governamentais.
Especialistas apontaram que a versão Linux do ransomware SFile implementa algumas melhorias, a mais interessante é a capacidade de criptografar arquivos com base em sua data de criação/acesso.
O princípio é simples, segundo os autores do malware, os arquivos recentes podem ser mais importantes para algumas vítimas e normalmente não são incluídos nos backups recentes.
Os ataques estão cada vez mais sofisticados e perigosos. De acordo com o MalwareHunterTeam, essa variante tem capacidade de criptografar arquivos com base em um intervalo de tempo. Assim, podem “pescar” arquivos de importância maior para as vítimas, criptografando-os. A ideia dos atacantes é criptografar esses arquivos que devem ter uma importância maior e que, geralmente, ainda não constam nos backups das vítimas.
Uma vez que os arquivos não constam em backups, é mais fácil as vítimas pagarem pelo resgate dos arquivos criptografados. Esse tem sido o princípio dos ataques com o ransomware SFile.
O Record apontou que, no início de janeiro, o número de infecções por ransomware SFile ainda é muito pequeno. No entanto, ainda estamos apenas no início do ano e não podemos substimá-lo.
Via: SecurityAffairs