Neue Variante der IceFire-Ransomware zielt auf Linux-Systeme

Weltweit beobachtete das Sicherheitsteam von SentinelOne Cyberangriffe auf Unternehmensnetzwerke des Medien- und Unterhaltungssektors. Dabei wurde in den vergangenen Wochen besonders eine neue Variante der Ransomware "IceFire" eingesetzt. Für ihre Attacken nutzten die Angreifer die Sicherheitslücke CVE-2022-47986 aus, eine Deserialisierungsschwachstelle in Aspera Faspex , der File-Sharing-Software von IBM. Für die Sicherheitslücke steht bereits ein Patch bereit.

Bereits im März 2022 entdeckte das MalwareHunterTeam die Schadsoftware, die sich damals vorranging auf Windows-Systeme konzentrierte. Nun haben die Betreiber der Ransomware ihren Fokus auf das Betriebssystem Linux erweitert.

Another new ransomware just appeared: IceFire.
Note: iFire-readme.txt
Extension: .iFire
Already seen victim companies from multiple countries, including multiple victims from 1-1 countries in the past < 40 hours, so they started "hard" it seems...@demonslay335 pic.twitter.com/QfguAicNYO

— MalwareHunterTeam (@malwrhunterteam) March 14, 2022

Jetzt kostenlos für den CSO-Newsletter anmelden

Merkmale der IceFire-Ransomware

Bei IceFire handelt es sich um eine 2,18 MG große 64-Bit-ELF-Binärdatei, die mit der Open Source Software GNU Compiler Collection für AMD64-Systemprozessoren kompiliert wurde. Die Nutzlast des Schadprogramms läuft auch erfolgreich auf Intel-basierten Distributionen von Ubuntu und Debian. Bei ihren Angriffen setzten die Betreiber der Ransomware diese auf Hosts mit CentOS, einer quelloffenen Linux-Distribution, ein, auf denen eine anfällige Version von IBM Aspera Faspex lief. Zu erkennen ist die Malware zudem daran, dass sie Dateien verschlüsselt und sie danach mit der Endung .ifire benennt.

Charakteristisch für die IceFire-Ransomware ist außerdem, dass ihre Nutzlast so programmiert ist, dass sie die Verschlüsselung bestimmter systemkritischer Dateien und Pfade ausschließt, darunter .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb und p sowie die Pfade /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var und /run. Das macht das Schadprogramm, damit kritische Teile von Systemen unverschlüsselt bleiben und somit funktionsfähig.

Die Payloads von IceFire werden auf dem DigitalOcean-Droplet gehostet, einer virtuellen Maschine der gleichnamigen Cloud-Computing-Plattform, unter der IP-Adresse 159.65.217.216. SentinelLabs empfiehlt deshalb, diese DigitalOcean-IP-Adresse mit einem Platzhalter zu versehen, falls die Malware-Betreiber auf eine neue Domain zur Bereitstellung der Schadsoftware ausweichen. Solche Wildcards für IP-Adressen werden in Sicherheits- oder Konfigurationsregeln verwendet, um mehrere Geräte abdecken zu können.

Des Weiteren verwenden die IceFire-Nutzlasten laut SentinelOne einen RSA-Verschlüsselungsalgorithmus mit einem öffentlichen RSA-Schlüssel, der in einer Binärdatei fest einkodiert ist. Zusätzlich legt die Nutzlast eine Lösegeldforderung in der Binärdatei ab und schreibt diese in jedes Verzeichnis, das für die Dateiverschlüsselung vorgesehen ist. Die Lösegeldnachricht enthält einen vordefinierten Benutzernamen und ein Kennwort, die für den Zugriff auf die Webseite für die Bezahlung verwendet werden müssen, die wiederum auf einem versteckten Tor-Dienst gehostet wird.

Im Vergleich zu Windows-Systemen stellt es für Cyberkriminelle die größere Herausforderung dar, Ransomware in Linux-Systemen zu verteilen - besonders im großen Maßstab. Viele Linux-Server sind weniger anfällig für gängige Infektionsmethoden wie Phishing oder Drive-by-Downloads. Aus diesem Grund sind Angreifer dazu übergegangen, Schwachstellen in Anwendungen auszunutzen wie die IBM-Schwachstelle, um ihre Schadprogramme zu verbreiten. (ms)

Lesetipp: Veeam behebt gefährliche Sicherheitslücke

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.