Linux onder vuur van Windows-ransomwarebende

Onderzoekers van securityleverancier SentinelOne hebben deze nieuwe Linux-ransomware waargenomen in de netwerken van verschillende media- en entertainmentbedrijven. De kwaadaardige software is daar binnen gekomen via een bekende kwetsbaarheid, die vorig jaar is ontdekt. Het gaat om een gat in de bestandsdelingssoftware Aspera Faspex van IBM.

Jaar oud gat

De bewuste kwetsbaarheid (CVE-2022-47986) is net iets meer dan een jaar geleden geopenbaard. Software- en Linux-leverancier IBM heeft er vorig jaar ook een patch voor uitgebracht. Versie 4.4.2 Patch Level 2 (PL2) van de Faspex-software heeft de onderliggende deserialization-fout niet meer, doordat de verouderde API-aanroep uit de software is verwijderd. Die PL2-update voor Faspex 4.4.2 pakt meerdere kwetsbaarheden aan.

In de praktijk is die patch niet overal toegepast, waar de IceFire-ransomware dus dankbaar gebruik van maakt. De gebruikte kwetsbaarheid maakt namelijk het op afstand uitvoeren van eigen code mogelijk, waardoor de ernst dan ook een CVSS-score van 9,8 heeft gekregen. De SentinelLabs-onderzoekers van SentinelOne melden nu in een nieuw rapport dat de Windows-gerichte focus van IceFire is uitgebreid naar ook Linux.

Linux-trend?

Daarmee gaan deze digitale afpersers mee in een bredere cybercrimebeweging; om ook Linux-systemen op de korrel te nemen. SentinelLabs noemt daarbij de beruchte Cl0p-ransomwarebende. Linux-malware van die aanvallers is eerder al ontdekt en blijkt een fout te bevatten waardoor slachtoffers zonder betaling hun gegijzelde gegevens en servers weer konden ontsleutelen.

IceFire mikt nu op systemen waarop IMB's Linux-distributie CentOS draait, met daarop dus de kwetsbare IBM-software voor het delen van bestanden. De onderzoekers van SentinelOne hebben de ontdekte ransomware ook getest op Linux-distributies Ubuntu en Debian: daar werkt deze kwaadaardige software net zo goed als op het van Red Hat afgeleide CentOS.

'Andere' landen

In tegenstelling tot de Windows-ransomware van IceFire, die via phishing-mails en dan exploitframeworks binnendringt, gebruikt de Linux-uitvoering dus direct een (extern bereikbare) kwetsbaarheid. Tot op heden geraakte bedrijven bevinden zich in landen die normaliter niet 'aandachtsgebieden' zijn voor ransomwarebendes: Turkije, Iran, Pakistan en de Verenigde Arabische Emiraten.