Η επιχείρηση Clop ransomware τώρα χρησιμοποιεί και μια παραλλαγή κακόβουλου λογισμικού που στοχεύει μόνο Linux servers, αλλά ένα ελάττωμα στο σύστημα κρυπτογράφησης επιτρέπει στα θύματα να ανακτούν τα αρχεία τους χωρίς να πληρώσουν λύτρα.
Τον Δεκέμβριο του 2022, ο ερευνητής της SentinelLabs, Antonis Terefos, ανακάλυψε τη νέα έκδοση του Clop για Linux, ενώ ερευνούσε μια επίθεση εναντίον ενός πανεπιστημίου στην Κολομβία. Αυτό συνέβη ταυτόχρονα με τη χρήση του μαζί με την παραλλαγή των Windows από την ίδια ομάδα απειλών.
Ενώ οι εκδόσεις της μεθόδου κρυπτογράφησης για Windows και Linux είναι σχεδόν πανομοιότυπες, με σχεδόν πανομοιότυπη λογική της διαδικασίας, παραμένουν κάποιες μικρές διαφοροποιήσεις. Οι διαφορές αυτές προέρχονται κυρίως από τα OS API calls και τα χαρακτηριστικά που δεν έχουν ακόμη ενσωματωθεί στην έκδοση του Linux.
Το Linux malware του Clop βρίσκεται σε αρχικό στάδιο λόγω της απουσίας προστατευτικών τεχνικών obfuscation και τεχνικών αποφυγής, καθώς και πολλαπλών αδυναμιών που επιτρέπουν στα θύματα να ανακτήσουν τα δεδομένα τους χωρίς να χρειάζονται χρηματική αποζημίωση.
Στόχευση των database server Oracle
Η εκκίνηση του Linux executable (ELF) του Clop ransomware δημιουργεί μια νέα διαδικασία που προσπαθεί να αποκτήσει προηγμένα δικαιώματα και να κρυπτογραφήσει τα δεδομένα σας.
Τα αρχεία και οι φάκελοι που στοχεύει περιλαμβάνουν το directory “/home” του χρήστη, το οποίο περιέχει όλα τα προσωπικά αρχεία, το directory “/root”, “/opt” και τα Oracle directories (“/u01” – “/u04”) που χρησιμοποιούνται για την αποθήκευση αρχεία βάσης δεδομένων ή ως σημεία προσάρτησης για το λογισμικό Oracle.
Η συγκεκριμένη στόχευση των φακέλων βάσης δεδομένων Oracle δεν εμφανίζεται συνήθως σε κρυπτογραφητές ransomware Linux, οι οποίοι συνήθως επικεντρώνονται στην κρυπτογράφηση εικονικών μηχανών ESXi.
Η παραλλαγή Linux δεν υποστηρίζει και τον αλγόριθμο hashing που χρησιμοποιείται από την έκδοση των Windows για τον αποκλεισμό ορισμένων τύπων αρχείων και φακέλων από την κρυπτογράφηση. Επίσης, δεν υπάρχει μηχανισμός για τη διαφορετική αντιμετώπιση αρχείων διαφόρων μεγεθών στο Linux.
Η έκδοση του Clop για το Linux στερείται αρκετών χαρακτηριστικών που θα μπορούσαν να αποδειχθούν πολύ χρήσιμα, όπως το drive enumeration που θα μπορούσε να βοηθήσει στον εντοπισμό του σημείου εκκίνησης για την αναδρομική κρυπτογράφηση φακέλων και οι παράμετροι γραμμής εντολών που προσφέρουν αυξημένο έλεγχο της κρυπτογράφησης.
Ελαττώματα κρυπτογράφησης
Η τρέχουσα έκδοση Linux δεν θα κρυπτογραφεί και τα κλειδιά RC4 που χρησιμοποιούνται για την κρυπτογράφηση αρχείων με τον ασύμμετρο αλγόριθμο που βασίζεται σε RSA που χρησιμοποιείται στην παραλλαγή των Windows.
Αντίθετα, στην έκδοση Linux, το Clop χρησιμοποιεί ένα «κύριο κλειδί» hardcoded RC4 για να δημιουργήσει τα κλειδιά κρυπτογράφησης και στη συνέχεια χρησιμοποιεί το ίδιο κλειδί για να το κρυπτογραφήσει και να το αποθηκεύσει τοπικά στο αρχείο. Επίσης, το κλειδί RC4 δεν επικυρώνεται ποτέ, ενώ στα Windows επικυρώνεται πριν από την έναρξη της κρυπτογράφησης.
Αυτή η αδύναμη διάταξη δεν προστατεύει τα κλειδιά από την ελεύθερη ανάκτηση και την κρυπτογράφηση από την αντιστροφή, κάτι που έκανε το SentinelLabs (ένα Python script που κάνει ακριβώς αυτό είναι τώρα διαθέσιμο στο GitHub).
Εκτός από την έλλειψη ασφάλειας κλειδιού, το SentinelLabs ανακάλυψε ότι όταν το κρυπτογραφημένο κλειδί εγγράφεται σε ένα αρχείο, το κακόβουλο λογισμικό εγγράφει και κάποια επιπλέον δεδομένα, όπως λεπτομέρειες σχετικά με το αρχείο, όπως το μέγεθος και ο χρόνος κρυπτογράφησης.
Αυτά τα δεδομένα θα πρέπει να αποκρύπτονται, καθώς θα μπορούσαν να βοηθήσουν τους ειδικούς να πραγματοποιήσουν στοχευμένη αποκρυπτογράφηση συγκεκριμένων, πολύτιμων αρχείων.
Αν και το ransomware Clop για Linux είναι απίθανο να αποτελέσει έναν ευρέως διαδεδομένο κίνδυνο στην τρέχουσα μορφή του, η διαθεσιμότητα ενός αποκρυπτογράφου θα παρακινήσει αναμφίβολα τους δημιουργούς του να κυκλοφορήσουν ασφαλείς και ανώτερες εκδόσεις με ένα κατάλληλα ασφαλές πλαίσιο κρυπτογράφησης.
Παρά τις αδυναμίες της, η χρήση της παραλλαγής Linux σε πραγματικές επιθέσεις Clop αποδεικνύει ότι, για τους απειλητικούς παράγοντες, η ύπαρξη μιας έκδοσης Linux, ακόμη και εύκολης παραβίασης, εξακολουθεί να είναι προτιμότερη από τη μη δυνατότητα επίθεσης σε συστήματα Linux εντός των οργανισμών-στόχων.
Το κακόβουλο λογισμικό Linux είναι μια αυξανόμενη απειλή που δεν πρέπει να αγνοείται από τους χρήστες υπολογιστών που βασίζονται σε αυτό το δημοφιλές λειτουργικό σύστημα ανοικτού κώδικα. Ακολουθώντας βέλτιστες πρακτικές, όπως η τακτική εγκατάσταση διορθωτικών εκδόσεων ασφαλείας, η χρήση ισχυρών κωδικών πρόσβασης και λογισμικού προστασίας από ιούς με δυνατότητες σάρωσης σε πραγματικό χρόνο, η συχνή δημιουργία αντιγράφων ασφαλείας των δεδομένων σας και η αποφυγή ύποπτων συνδέσμων ή λήψεων σε μηνύματα ηλεκτρονικού ταχυδρομείου ή ιστότοπους που επισκέπτεστε τακτικά, μπορείτε να διασφαλίσετε ότι το σύστημά σας παραμένει ασφαλές από επιθέσεις κυβερνοεγκληματιών που επιδιώκουν να εκμεταλλευτούν ευπάθειες στο λειτουργικό σύστημα Linux.
Πηγή: bleepingcomputer.com